Vidéo: Benjamin Sonntag - Qubes le nouvel OS sécurisé pour hacktivistes (Novembre 2024)
SAN FRANCISCO - Les chercheurs ont pu utiliser des mots de passe spécifiques à l’application pour contourner l’authentification à deux facteurs de Google et obtenir un contrôle total sur le compte Gmail d’un utilisateur.
La conférence RSA sur la sécurité 2013 commencera sérieusement demain matin, mais de nombreux participants se réunissaient déjà au Moscone Center de San Francisco pour participer à des discussions au sommet de la Cloud Security Alliance et au panel Trusted Computing Group. D'autres ont entamé des conversations sur un large éventail de sujets liés à la sécurité avec d'autres participants. Le message de ce matin de Duo Security sur la manière dont les chercheurs ont trouvé un moyen de contourner l'authentification à deux facteurs de Google était un sujet de discussion courant ce matin.
Google permet aux utilisateurs d'activer l'authentification à deux facteurs sur leur compte Gmail pour renforcer la sécurité et générer des jetons d'accès spéciaux pour les applications ne prenant pas en charge la vérification en deux étapes. Les chercheurs de Duo Security ont trouvé un moyen d’abuser de ces jetons spéciaux pour contourner complètement le processus à deux facteurs, a écrit Adam Goodman, ingénieur principal en sécurité chez Duo Security. Duo Security a informé Google de ces problèmes et la société a "mis en œuvre certaines modifications pour atténuer les menaces les plus graves", a déclaré Goodman.
"Nous pensons que c'est un trou assez important dans un système d'authentification forte si un utilisateur dispose toujours d'une forme de" mot de passe "suffisante pour prendre le contrôle total de son compte", a déclaré Goodman.
Cependant, il a également déclaré qu'avoir une authentification à deux facteurs, même avec cette faille, était "nettement mieux" que de simplement compter sur une combinaison nom d'utilisateur / mot de passe normale.
Le problème avec les ASP
L'authentification à deux facteurs est un bon moyen de sécuriser les comptes d'utilisateurs, car elle requiert quelque chose que vous connaissez (le mot de passe) et quelque chose que vous possédez (un appareil mobile pour obtenir le code spécial). Les utilisateurs qui ont activé le double facteur sur leur compte Google doivent entrer leurs informations d'identification de connexion normales, puis le mot de passe spécial à usage unique affiché sur leur appareil mobile. Le mot de passe spécial peut être généré par une application sur le périphérique mobile ou envoyé via un message SMS. Il est spécifique au périphérique. Cela signifie que l'utilisateur n'a pas à s'inquiéter de la création d'un nouveau code à chaque fois qu'il se connecte, mais chaque fois qu'il se connecte à partir d'un nouveau périphérique. Cependant, pour plus de sécurité, le code d'authentification expire tous les 30 jours.
Excellente idée et implémentation, mais Google a dû faire "quelques compromis", tels que des mots de passe spécifiques à une application, pour que les utilisateurs puissent toujours utiliser des applications qui ne prennent pas en charge la vérification en deux étapes, a noté Goodman. Les ASP sont des jetons spécialisés générés pour chaque application (d'où le nom) que les utilisateurs entrent à la place de la combinaison mot de passe / jeton. Les utilisateurs peuvent utiliser des ASP pour des clients de messagerie tels que Mozilla Thunderbird, des clients de discussion tels que Pidgin et des applications de calendrier. Les anciennes versions d'Android ne prenant pas en charge la procédure en deux étapes, les utilisateurs devaient utiliser des ASP pour se connecter à des téléphones et tablettes plus anciens. Les utilisateurs peuvent également révoquer l'accès à leur compte Google en désactivant l'ASP de cette application.
Duo Security a découvert que les ASP n’étaient en réalité pas spécifiques à une application et qu’ils pouvaient faire plus que simplement récupérer des courriels via le protocole IMAP ou des événements de calendrier à l’aide de CalDev. En fait, un seul code pourrait être utilisé pour se connecter à presque toutes les propriétés Web de Google, grâce à une nouvelle fonctionnalité de "connexion automatique" introduite dans les versions récentes d'Android et de Chrome OS. La connexion automatique permettait aux utilisateurs ayant lié leurs appareils mobiles ou Chromebooks à leur compte Google d'accéder automatiquement à toutes les pages liées à Google sur le Web sans voir aucune autre page de connexion.
Avec cet ASP, quelqu'un pourrait accéder directement à la «page de récupération du compte» et modifier les adresses électroniques et les numéros de téléphone auxquels les messages de réinitialisation de mot de passe sont envoyés.
"Cela nous a suffi pour nous rendre compte que les FSA présentaient des menaces de sécurité étonnamment graves", a déclaré Goodman.
Duo Security a intercepté un ASP en analysant les demandes envoyées d'un appareil Android aux serveurs de Google. Un système d'hameçonnage visant à intercepter les ASP aurait probablement un faible taux de réussite, mais Duo Security a supposé que les logiciels malveillants pourraient être conçus pour extraire les ASP stockés sur le périphérique ou tirer parti d'une mauvaise vérification du certificat SSL pour les intercepter en tant que partie intégrante du système. l'attaque du milieu.
Bien que les solutions apportées par Google résolvent les problèmes rencontrés, "nous aimerions que Google mette en place un moyen de restreindre davantage les privilèges des différents ASP", a déclaré Goodman.
Pour voir tous les articles de notre couverture RSA, consultez notre page Afficher les rapports.
