Comment les attaquants contournent les passkeys synchronisées

La sécurité est aujourd’hui l’une des préoccupations majeures dans les entreprises, en particulier avec l’adoption accrue des technologies numériques. Parmi les innovations sécuritaires récentes, les passkeys ont été promues comme une solution fiable remplaçant les mots de passe traditionnels. Cependant, toutes les implémentations de passkeys ne se valent pas, et cette vérité est particulièrement évidente pour les passkeys synchronisées via le cloud. Dans cet article, nous explorerons les vulnérabilités liées aux passkeys synchronisées, comment elles peuvent être contournées par des attaquants, et pourquoi les passkeys liées aux appareils sont une meilleure solution pour les entreprises.

Comprendre les passkeys synchronisées et leurs risques

Les passkeys, ou clés d’accès, sont des informations d’identification qui permettent aux utilisateurs de s’authentifier de manière sécurisée. Toutefois, les passkeys synchronisées, qui utilisent des services cloud comme iCloud ou Google Cloud pour fonctionner sur plusieurs appareils, comportent des risques importants. Ces risques incluent :

La possibilité de pirater les comptes cloud et ainsi compromettre l’accès à plusieurs appareils.
La synchronisation avec des comptes personnels en cas d’utilisation sur des appareils professionnels, augmentant la surface d’attaque.
L’abus des processus de récupération de comptes (help desk) qui permettent aux pirates de répliquer un trousseau de clés sur un nouvel appareil.

Les attaques par déclassement de l’authentification

Une attaque courante contre les passkeys synchronisées consiste à forcer une méthode d’authentification moins sécurisée. Par exemple :

Une étude de Proofpoint a documenté une attaque où un proxy malveillant simule un navigateur non supporté, obligeant la plateforme d’authentification à rétrograder vers des méthodes comme le SMS ou les codes OTP. Le pirate capture les informations et utilise le cookie de session pour accéder aux systèmes.

Cela montre que même les systèmes bien conçus peuvent être contournés si des alternatives faibles sont disponibles.

Les extensions de navigateur et leurs vulnérabilités

Les navigateurs modernes, bien qu’efficaces, introduisent également des vecteurs d’attaque si des extensions malveillantes ou compromises sont utilisées. Par exemple :

Une extension peut intercepter les appels WebAuthn et manipuler les authentifications.
Un script malveillant peut réenregistrer ou compléter une assertion sans l’accord de l’utilisateur.
Des attaques basées sur l’interface utilisateur, comme le clickjacking, peuvent activer des remplissages automatiques et fuir des informations stockées, comme des codes OTP ou des passkeys.

Ces menaces montrent pourquoi il est crucial de surveiller et de limiter les extensions au sein des navigateurs utilisés professionnellement.

Les passkeys liées aux appareils comme solution

Les passkeys liées à un appareil utilisent des composants matériels sécurisés pour générer et stocker des clés privées. Cela offre plusieurs avantages :

Les clés ne quittent jamais l’appareil, réduisant ainsi les risques en cas de piratage.
La garantie que les authentificateurs sont matériellement liés est essentielle pour des contrôles administratifs renforcés.
Les atténuations contre les manipulations de navigateur ou les abus de synchronisation cloud sont directement intégrées.

Ces caractéristiques rendent les passkeys liées aux appareils plus adaptées pour les entreprises où la sécurité est primordiale.

Mettre en place un programme sécurisé de passkeys

Pour intégrer efficacement des passkeys dans votre environnement professionnel, voici quelques conseils :

Définir une politique stricte

Adoptez des règles comme :

Évitez les méthodes d’authentification faibles.
Autorisez uniquement des authentificateurs liés aux appareils pour les scénarios professionnels.

Renforcer l’hygiène des navigateurs

Surveillez continuellement les installations d’extensions et appliquez des restrictions sur celles qui utilisent des permissions critiques.

Gestion des sessions et récupération

Assurez-vous que les cookies de session ne soient pas transportables et reposez-vous sur des dispositifs matériels hautement sécurisés pour la récupération.

Conclusion

Les passkeys synchronisées peuvent sembler pratiques, mais elles ne conviennent pas aux cas d’usage en entreprise où la sécurité est une priorité. Passer à des solutions comme les passkeys liées aux appareils est une étape cruciale pour éliminer les vecteurs d’attaques possibles. Chez Lynx Intel, nous sommes experts en stratégie de protection des ressources numériques et pouvons vous accompagner dans l’implémentation de ces technologies adaptées. Contactez-nous pour en savoir plus.

Type To Search

Type To Search

Type To Search

Comment les attaquants contournent les passkeys synchronisées

Comprendre les passkeys synchronisées et leurs risques

Les attaques par déclassement de l’authentification

Les extensions de navigateur et leurs vulnérabilités

Les passkeys liées aux appareils comme solution

Mettre en place un programme sécurisé de passkeys

Définir une politique stricte

Renforcer l’hygiène des navigateurs

Gestion des sessions et récupération

Conclusion

Similaire

Sécuriser les établissements scolaires face aux cyberattaques

Mango : La Cyberattaque et la Sécurité des Données Clients

Related Posts

Cybersécurité au Royaume-Uni : en hausse

Patch critique de Microsoft pour corriger une faille Entra ID

Laisser un commentaireAnnuler la réponse.

L’information est une arme. LynxIntel vous apprend à la manier

+33 7 69 39 69 91