Publicité en cours de chargement...
Quand les attaquants se régalent avec les cookies
Dans un récent rapport de type CTI [2], le CERT-FR de l’ANSSI rappelle les limites de l’authentification forte lorsque les attaquants dérobent directement un jeton d’authentification à l’utilisateur. Cela ne veut pas dire que l’authentification à plusieurs facteurs est inutile, loin de là, juste qu’elle ne sert plus à rien quand un attaquant a commencé à piocher un cookie dans la boite. Comme tout dispositif (de la vie numérique ou réelle) de sécurité, il est important d’avoir en tête le périmètre qu’il protège. Dans une voiture, si les freins peuvent vous permettre d’éviter de heurter un obstacle, lorsque le choc est survenu, ils ne servent plus à rien. Ce sont d’autres dispositifs qui interviennent dans la phase suivante, tels que la ceinture et les airbags pour vous éviter de taper la tête contre le volant ou de passer à travers le pare-brise. Vous n’entendrez jamais personne vous dire que les freins d’une voiture ne servent à rien.
Alors la recette des cookies, ça consiste en quoi ?
On peut dire qu’il y a deux principales recettes :
- la première consiste à compromettre le terminal utilisateur authentifié et lui dérober le jeton d’authentification, comme le font plusieurs outils de type RAT (Remote Administration Tool), notamment Qbot [3], Cryptbot [4] ou encore ce RAT s’appuyant sur un Bot Telegram, plus difficile à identifier au niveau des flux réseau [5].
- la seconde recette consiste à attirer l’utilisateur, via un courriel de phishing généralement, à se connecter sur un serveur contrôlé par l’attaquant sur lequel est exécuté un reverse proxy de type Muraena [6] ou encore le très bien pensé Evilginx [7] pour intercepter le jeton d’authentification.
Le CERT-FR rappelle que les groupes LAPSUS$ (piratage d’Okta notamment) et Nobelium (piratage de SolarWinds notamment) ont recours à ce type d’attaque pour compromettre des accès et que des boutiques comme Genesis font de la vente de jetons d’authentification leur business.
Parmi les recommandations de l’ANSSI, on retrouve le durcissement du SI dédié à l’administration, ou encore la réduction de la durée de vie des sessions lorsque cela est possible.
Côté utilisateur, même si cela n’est pas indiqué dans le rapport, un truc tout bête peut limiter les risques également : se déconnecter du service web lorsque l’on a fini de l’utiliser.
[1] https://www.apssis.com/video/353/conference-13-le-mot-de-passe-est-mort-vive-l-authentification.htm
[2] https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-005/
[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot
[4] https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot
[5] https://github.com/romanrakhlin/RAT-via-Telegram-Bot
[6] https://github.com/muraenateam/muraena
[7] https://github.com/kgretzky/evilginx2
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS(Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE
02 juin 2025 - 15:00,
Communiqué
- GPLExpertGPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...