Pour contourner l’authentification à facteurs multiples, les attaquants miseraient sur IMAP

Protéger des comptes d’utilisateurs par l’authentification à facteurs multiples constitue désormais l’une des bases essentielles de l’hygiène de sécurité informatique. Et cela même si toutes les approches ne se valent pas.
Mais voilà, à quoi bon le faire si l’on laisse des comptes Office 365 et G Suite ouverts à des protocoles tels qu’IMAP ? Pas à grand-chose, selon les chercheurs de Proofpoint, notamment face aux attaques ciblées par pulvérisation de mots de passe – ou password spraying, en anglais. Il s’agit là d’attaques en force brute prenant pour base des noms d’utilisateur et mots de passe lâchés dans la nature à l’occasion des multiples et régulières brèches que peuvent connaître des services en ligne.

Dans un billet de blog, ils soulignent la prévalence des attaques visant IMAP – 60 % d’un total d’une « centaine de milliers d’ouvertures de sessions non autorisées sur des millions de comptes utilisateurs surveillés ». Environ un quart des tentatives ont été couronnées de succès, pour un taux de succès moyen par attaquant de 44 %.

Selon les chercheurs, « les campagnes de pulvérisation de mots de passe sur IMAP sont particulièrement efficaces, apparaissant en grands volumes entre septembre 2018 et février 2019 ». Et d’ajouter que ces opérations « visent spécifiquement des utilisateurs à haute valeur comme des dirigeants et leurs assistants administratifs ». Selon Proofpoint, « en moyenne, les attaquants ont visé 10 % des comptes actifs des organisations visées » et 1 % de comptes visés ont été effectivement compromis.

Les experts de l’éditeur ne peuvent s’empêcher de voir un lien entre les diffusions de détails de comptes compromis et ces attaques, observant un bond significatif de l’efficacité des attaques en décembre dernier, à l’occasion de la mise en ligne de la première collection consolidée d’identifiants compromis.

Pour cacher leurs traces, les attaquants passent, sans trop de surprise, par des appareils connectés compromis répartis dans le monde entier. Plus de la moitié des opérations observées visant des accès IMAP trouvaient leur origine en Chine. Les adresses IP brésiliennes représentaient 39 % des attaques, devant celles affectées aux Etats-Unis, à 31 %. Bien sûr, les chercheurs de Proofpoint rappellent qu’il n’y a pas forcément de lien entre la localisation de l’adresse IP et la nationalité réelle des attaquants.

La difficulté avec IMAP, est qu’il est par exemple indispensable à la consultation de la messagerie électronique de Google via des clients tels qu’Outlook ou Apple Mail. Mais ce qu’oublient de mentionner les chercheurs de Proofpoint, c’est qu’une fois l’authentification à facteurs multiples activée sur un compte Google, il devient impossible d’utiliser le mot de passe du compte pour établir une connexion IMAP à la messagerie : seul un mot de passe d’application dédié, généré spécifiquement dans l’interface d’administration du compte, le permet.

Sur macOS et iOS, Apple et Google ont mis en place un mécanisme qui rend la création de ce mot de passe spécifique totalement transparente pour l’utilisateur, en tenant compte de la protection apportée par l’authentification à facteurs multiples.

La même précaution est en place du côté d’Office 365. Au passage, lorsque l’on essaie d’utiliser le mot de passe de son compte Office 365 pour configurer une connexion IMAP à sa messagerie, alors que l’authentification à double facteur est en place, le service Microsoft génère une alerte transmise par courriel, SMS le cas échéant, mais aussi notification pour les utilisateurs de son application mobile Authenticator.