Le protocole OAuth ciblé par des attaques, selon Microsoft

Selon Microsoft, les pirates informatiques intensifient les attaques ciblant les applications qui utilisent OAuth 2.0. Cette initiative des cybercriminels est probablement causé par la généralisation du travail à distance et de l’utilisation accrue des applications de collaboration.

OAuth est un protocole libre pour la “délégation d’autorisation”, couramment utilisé comme moyen pour les personnes de se connecter aux services sans entrer de mot de passe, tout simplement en utilisant le statut de connexion sur un autre service ou site Web de confiance. Les exemples les plus fréquents sont «Se connecter avec Google» ou «Se connecter avec Facebook» que de nombreux sites Web utilisent au lieu de demander aux visiteurs de créer un nouveau compte.

microsoft

Selon Agnieszka Girling, Partner Group PM Manager chez Microsoft, l’hameçonnage par consentement, une forme d’attaque basée sur les applications qui utilise OAuth, est en augmentation.

“C’est là que les attaquants incitent les utilisateurs à accorder à une application malveillante l’accès à des données sensibles ou à d’autres ressources”, a-t-elle expliqué dans un article de blog. “Au lieu d’essayer de dérober le mot de passe de l’utilisateur, un attaquant demande l’autorisation (OAuth) à une application dont il a pris le contrôle d’accéder à des données précieuses.”

L’offensive démarre lorsqu’un attaquant enregistre une application malveillante auprès d’un fournisseur OAuth 2.0, tel que le Azure Active Directory de Microsoft.

«L’application est configurée de manière à ce qu’elle semble fiable au premier abord, elle utilise par exemple le nom d’un produit populaire utilisé dans le même écosystème», a expliqué Girling. «L’attaquant place un lien devant les utilisateurs, ce qui peut se faire par le hameçonnage classique par e-mail, en compromettant un site Web non malveillant ou d’autres techniques. L’utilisateur clique sur le lien et une fenêtre de consentement authentique apparaît et lui demande d’accorder à l’application malveillante des autorisations sur les données.»

oauth

Si un utilisateur clique sur Accepter, il autorisera l’application malveillante à accéder à ses informations d’identification et potentiellement à d’autres données sensibles.

“L’application obtient un code d’autorisation qu’elle échange contre un jeton d’accès, et potentiellement un jeton d’actualisation”, a expliqué Girling. «Le jeton d’accès est utilisé pour effectuer des appels API au nom de l’utilisateur. Si l’utilisateur accepte, l’attaquant peut accéder à ses e-mails, aux règles de transfert, aux fichiers, aux contacts, aux notes, au profil et à d’autres données et ressources sensibles. »

Comment se protéger de ces attaques ciblant OAuth?

Les utilisateurs peuvent se protéger en s’assurant que l’application sur laquelle ils se connectent est réellement légitime. Ils peuvent également appliquer des stratégies de base de défense contre le hameçonnage, telles que la recherche d’une orthographe et d’une grammaire médiocres dans les e-mails. Les noms d’applications et les domaines des URL de domaine peuvent aussi mettre en évidence la tentative de supercherie.

“Les pirates aiment usurper des noms qui semblent provenir d’applications ou d’entreprises légitimes, mais vous poussent à consentir à une application malveillante”, a déclaré Girling. “Assurez-vous de reconnaître le nom de l’application et le domaine de l’URL avant d’accepter une application.”

Au fur et à mesure que le travail à distance se poursuit et que les applications de collaboration telles que Zoom, Webex Teams, Box et Microsoft Teams deviennent omniprésentes, les utilisateurs s’habituent de plus en plus aux applications de cloud et s’y connectent à l’aide du protocole de connexion OAuth, a averti Girling.

«La pandémie mondiale a radicalement changé la façon dont les gens travaillent», a-t-elle déclaré. «En conséquence, les organisations du monde entier ont déployé des services cloud pour soutenir la collaboration et la productivité à domicile… Avec une utilisation accrue des applications cloud et le passage au travail à domicile, la sécurité et la façon dont les employés accèdent aux ressources de l’entreprise sont encore plus prioritaires pour les entreprises.”