Publicité en cours de chargement...

Publicité en cours de chargement...

Quand les attaquants se régalent avec les cookies

31 mai 2022 - 10:44,
Tribune - Charles Blanc-Rolin
Le sujet n’est pas nouveau, nous l’avions d’ailleurs abordé au congrès de l’APSSIS en 2019 avec le Dr Michel Dubois lors d’une conférence commune sur les mots de passe [1], la recette des cookies est toujours aussi radicale contre les authentifications à deux facteurs. Je ne dis pas que les facteurs en mangent trop au dessert et que cela les empêche de remonter sur le vélo l’après-midi, non, non, non, pas du tout ! Je veux bien sûr parler des cookies utilisés comme jetons d’authentification sur les applications / sites / services web. Un cookie authentifiant est très facile à exporter d’un navigateur web et à importer dans « un autre », cela peut d’ailleurs s’avérer très pratiques pour réaliser des téléchargements authentifiés à l’aide de Wget après s’être authentifié sur le site avec Firefox par exemple.

Dans un récent rapport de type CTI [2], le CERT-FR de l’ANSSI rappelle les limites de l’authentification forte lorsque les attaquants dérobent directement un jeton d’authentification à l’utilisateur. Cela ne veut pas dire que l’authentification à plusieurs facteurs est inutile, loin de là, juste qu’elle ne sert plus à rien quand un attaquant a commencé à piocher un cookie dans la boite. Comme tout dispositif (de la vie numérique ou réelle) de sécurité, il est important d’avoir en tête le périmètre qu’il protège. Dans une voiture, si les freins peuvent vous permettre d’éviter de heurter un obstacle, lorsque le choc est survenu, ils ne servent plus à rien. Ce sont d’autres dispositifs qui interviennent dans la phase suivante, tels que la ceinture et les airbags pour vous éviter de taper la tête contre le volant ou de passer à travers le pare-brise. Vous n’entendrez jamais personne vous dire que les freins d’une voiture ne servent à rien.

Alors la recette des cookies, ça consiste en quoi ?
On peut dire qu’il y a deux principales recettes :

- la première consiste à compromettre le terminal utilisateur authentifié et lui dérober le jeton d’authentification, comme le font plusieurs outils de type RAT (Remote Administration Tool), notamment Qbot [3], Cryptbot [4] ou encore ce RAT s’appuyant sur un Bot Telegram, plus difficile à identifier au niveau des flux réseau [5].

- la seconde recette consiste à attirer l’utilisateur, via un courriel de phishing généralement, à se connecter sur un serveur contrôlé par l’attaquant sur lequel est exécuté un reverse proxy de type Muraena [6] ou encore le très bien pensé Evilginx [7] pour intercepter le jeton d’authentification. 

Le CERT-FR rappelle que les groupes LAPSUS$ (piratage d’Okta notamment) et Nobelium (piratage de SolarWinds notamment) ont recours à ce type d’attaque pour compromettre des accès et que des boutiques comme Genesis font de la vente de jetons d’authentification leur business.

Parmi les recommandations de l’ANSSI, on retrouve le durcissement du SI dédié à l’administration, ou encore la réduction de la durée de vie des sessions lorsque cela est possible.
Côté utilisateur, même si cela n’est pas indiqué dans le rapport, un truc tout bête peut limiter les risques également : se déconnecter du service web lorsque l’on a fini de l’utiliser.


[1] https://www.apssis.com/video/353/conference-13-le-mot-de-passe-est-mort-vive-l-authentification.htm 

https://www.apssis.com/actualite-ssi/338/le-mot-de-passe-est-mort-vive-l-authentification-votre-cle-est-elle-sous-le-paillasson-le-compte-rendu-de-gerard-peliks.htm 

[2] https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-005/ 

[3] https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot 

[4] https://malpedia.caad.fkie.fraunhofer.de/details/win.cryptbot 

[5] https://github.com/romanrakhlin/RAT-via-Telegram-Bot 

[6] https://github.com/muraenateam/muraena 

[7] https://github.com/kgretzky/evilginx2 


L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS(Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.