Microsoft a renforcé son MFA après une découverte inquiétante

Publié le par Un commentaire

Microsoft a récemment résolu une vulnérabilité majeure dans son système d’authentification multifactorielle (MFA). Découverte par la société de cybersécurité Oasis Security, cette faille permettait à des attaquants de contourner les mesures de sécurité et d’accéder à des données sensibles sur des services comme Outlook, OneDrive, Teams et Azure.

Dans son rapport, Oasis Security a révélé que cette faille, potentiellement exploitable par plus de 400 millions d’utilisateurs, nécessitait très peu d’efforts pour être mise en œuvre. L’équipe de chercheurs a réussi à contourner la sécurité en une heure seulement, sans interaction de l’utilisateur et sans déclencher de notifications ou d’alertes.

Les points faibles identifiés se concentrent principalement sur deux aspects :

1. Absence de limitation de taux (rate limiting) : Les attaquants pouvaient créer de nombreuses sessions et tester des codes à six chiffres en masse, dépassant ainsi la limite de 10 essais par session.

2. Validité prolongée des codes : Alors que les mots de passe à usage unique basés sur le temps (TOTP) devraient expirer en 30 secondes, le système de Microsoft acceptait les codes jusqu’à trois minutes. Cette marge offrait aux attaquants davantage de chances de succès.

Les tests d’Oasis Security ont démontré qu’en exploitant ces failles, un attaquant pouvait avoir plus de 50 % de chances de deviner un code valide en 70 minutes. L’équipe de chercheurs a quant à elle atteint un taux de réussite de 3 % dans les trois premières minutes.

Bien que cette faille ait été corrigée, Oasis Security rappelle que les entreprises doivent adopter une approche proactive dans la gestion de leurs outils d’authentification. Voici quelques recommandations clés :

  • Activer le MFA : Les options comme les applications d’authentification ou les solutions sans mot de passe sont particulièrement fiables.
  • Surveiller les fuites de données : Il est essentiel de renouveler régulièrement les mots de passe et de rester vigilant face aux signaux de compromission.
  • Configurer des alertes pour les tentatives échouées : Cela permet d’identifier rapidement les attaques ciblées.

Pour les éditeurs de systèmes MFA, l’implémentation de limites de taux adaptées est primordiale pour empêcher les tentatives répétées.

Cet incident souligne l’importance d’une vigilance accrue dans l’écosystème de la cybersécurité. Même des géants comme Microsoft ne sont pas à l’abri de vulnérabilités, mais leur capacité à réagir rapidement reste un point fort. 

Un commentaire

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.