L'ennemi à la maison : comment les attaques de piratage de session contournent la vérification en deux étapes (2FA)
Le vol de cookies de session via un malware est devenu la technique favorite des cybercriminels pour contourner le deuxième facteur d’authentification sans éveiller les soupçons.
The Enemy at Home : Comment les attaques de détournement de session contournent la vérification en deux étapes (2FA)
La vérification en deux étapes (2FA) et l'analyse multifactorielle (MFA) se sont imposées comme les piliers fondamentaux de la sécurité des comptes numériques sur le Web. Cependant, une méthode d'attaque très sophistiquée et en plein essor chez les cybercriminels montre que ces barrières peuvent s'avérer totalement inefficaces : le session hijacking ou Session Hijacking.
Grâce à des logiciels espions spécialisés et à des techniques de phishing avancées, les attaquants parviennent à échapper au deuxième facteur dans l’œuf sans interagir directement avec lui.
La valeur des cookies d'authentification
Lorsqu'un utilisateur se connecte à une application Web et saisit avec succès son mot de passe et son code 2FA, le serveur valide ses informations d'identification et génère un identifiant unique appelé jeton de session. Ce token est stocké dans le navigateur de l'utilisateur sous la forme d'un cookie.
A partir de ce moment, pour éviter à l'utilisateur de devoir saisir ses identifiants sur chaque page visitée, le navigateur envoie automatiquement ce cookie dans chaque requête HTTP. Ce token est la « clé principale » de la session.
Les mécanismes du détournement de session
Si un attaquant parvient à obtenir une copie de ce cookie de session actif, il peut l'importer dans son propre navigateur. C'est ce qu'on appelle le vol de cookies ou vol de cookies.
Lorsque l'attaquant fait des requêtes au serveur avec le cookie volé, le serveur le traite, le trouve valide et accorde à l'attaquant un accès immédiat au compte. Puisque la session a déjà été légitimement ouverte par l'utilisateur d'origine (qui a déjà réussi le défi 2FA), le système ne demande plus de mots de passe ou de codes dynamiques.
Cette attaque est généralement perpétrée par :
- Logiciels malveillants locaux (Infostealers) : Chevaux de Troie silencieux qui infectent le système et extraient les bases de données de cookies des navigateurs tels que Chrome, Firefox ou Edge.
- Phishing en temps réel (Reverse Proxy) : Fausses pages qui interceptent à la fois les informations d'identification et les cookies renvoyés par le serveur légitime en temps réel.
- Attaques Man-in-the-Middle (MitM) : Interception du trafic sur les réseaux Wi-Fi non protégés lorsqu'un cryptage approprié n'est pas mis en œuvre.
Stratégies d'atténuation et de défense
Pour les développeurs de logiciels et les administrateurs système, atténuer le détournement de session nécessite la mise en œuvre des meilleures pratiques cryptographiques :
- Cookies sécurisés : Configurez les cookies avec les indicateurs
HttpOnly(empêche l'accès via JavaScript) etSecure(force la transmission exclusive sous HTTPS). - DPoP (Démonstration de preuve de possession) : Liez cryptographiquement les jetons de session avec une clé publique générée par le navigateur client afin qu'ils ne fonctionnent pas s'ils sont copiés sur une autre machine.
- Surveillance contextuelle : Invalidez automatiquement les sessions si des changements soudains dans l'adresse IP de l'utilisateur, l'agent utilisateur ou l'empreinte digitale du navigateur sont détectés.
