Il y a quelques jours, Amos, également connu sous le nom de @fasterthanlime, a rencontré un événement d’extraction de mot de passe par des pirates et a donc été laissé de côté par quelques centaines d’euros. Cependant, cette attaque a été facilitée par le fait que les attaquants ont pu désactiver l’authentification à 2 facteurs sur password.google.com de Google sans avoir besoin de confirmer par le mécanisme d’authentification à 2 facteurs, ce qui va à l’encontre de l’activation de l’authentification à 2 facteurs. En outre, l’enquête ultérieure a suggéré que les mots de passe stockés dans password.google.com peuvent être facilement extraits, ce qui pose une question plus importante concernant la sécurité du service. InfoQ a a contacté l’ingénieur en sécurité de Google qui a répondu et mettra à jour cet article lorsque nous recevrons de plus amples informations.
Le point d’entrée de la vulnérabilité était une session de type VNC à distance exposée, qui permettait aux attaquants d’accéder au système de fenêtrage macOS qui était utilisé à l’époque. Le service utilisait NoMachine, qui exposait le port du 4000 à Internet sans authentification, ce qui, comme le note Amos, était leur erreur.
Cependant, les problèmes les plus importants sont survenus car Amos avait utilisé Safari sur macOS pour se connecter à son compte. Safari se souvenait « utilement » du mot de passe avec remplissage automatique, et c’est ce qui permettait aux pirates d’accéder par la suite aux détails d’Amos.
Depuis qu’Amos s’est récemment connecté sur cette machine, Google a mis en cache un jeton de session récente sur sa machine (probablement avec une vérification 2FA). Cela a permis aux attaquants, un certain temps plus tard, de réutiliser le mot de passe mis en cache dans le remplissage automatique de Safari, pour actualiser le jeton de session et, avec lui, le pouvoir de désactiver 2FA sur le compte. C’est apparemment par conception en ce que si vous êtes connecté à un ordinateur et que vous connaissez le mot de passe, vous devez sûrement être la même personne qui n’attaque pas votre machine pour le moment. Si vous vous êtes connecté récemment, vous avez une session bénie, et tout ce dont vous avez besoin est un seul facteur – le mot de passe – pour actualiser le jeton de session bénie, et vous êtes prêt à partir.
Vous pouvez désactiver Google 2FA sans avoir besoin du jeton 2FA.
Cela semblerait être la sécurité 101, mais apparemment afin de faciliter la tâche des utilisateurs et pour leur éviter d’avoir à taper fréquemment leur jeton 2FA, il suffit de se connecter récemment à une machine pour convaincre Google que vous pouvez sécuriser changements de niveau, si vous connaissez le mot de passe. En d’autres termes, c’est 2FA, sauf si vous êtes connecté, auquel cas c’est 1FA. L’argument est: eh bien, vous vous êtes connecté à votre machine, c’est forcément sûr, droite?
@mrisher: @fasterthanlime Peut-être une différence terminologique? Déverrouillage tactile / facial en plus du mot de passe? J’admets pleinement qu’il y a des lacunes dans les verrous d’écran – surf sur les épaules, yeux fermés, etc. – mais c’est toujours un deuxième facteur, non?
@mrisher: @fasterthanlime Correct, dans notre modèle, le verrouillage de l’appareil est un deuxième facteur en plus du mot de passe cloud. Êtes-vous en désaccord?
Eh bien oui, je ne suis pas d’accord. L’intérêt de 2FA est que cela devrait être, bien, une deuxième authentification de facteur. Si vous pouvez modifier les paramètres de sécurité avec un seul mot de passe, cela s’appelle 1FA. Le fait que ce soit l’avis d’un ingénieur sécurité chez Google le rend d’autant plus inquiétant.
De plus, une fois que les attaquants ont désactivé 2FA, ils ont pu attaquer la session à distance et ont utilisé passwords.google.com pour extraire un certain nombre de mots de passe qui avaient été enregistrés automatiquement par Chrome dans le passé. Amos a déclaré à InfoQ qu’il avait été un utilisateur heureux de 1Password pendant un certain temps et que ces mots de passe capturés par Chrome étaient des services anciens ou expirés, mais un nombre suffisant d’entre eux étaient toujours valides pour que les attaquants aient réussi à commander du matériel et à en exécuter certains. d’autres factures auxquelles Amos doit désormais faire face.
En fait, ce n’est que lorsqu’un service avec de la vraie 2FA a informé Amos au milieu de la nuit qu’il avait remarqué que quelque chose n’allait pas.
L’autre aspect qui est ressorti de l’enquête d’Amos est que passwords.google.com semble stocker vos mots de passe dans un qui utilise votre mot de passe de connexion google. Cela permet à quiconque connaît votre mot de passe – par exemple, parce que Safari l’a rempli automatiquement pour vous – de pouvoir décrypter vos mots de passe cloud. Ceci est similaire au gestionnaire de trousseau d’Apple, qui vous permet de décrypter le contenu du trousseau à condition que vous connaissiez le mot de passe du trousseau; afin que la synchronisation des mots de passe par Chrome via le service central et toute instance Chrome puisse y accéder et décrypter le mot de passe. Mais c’est aussi ce que Google Vérification du mot de passe utilisations des services; il peut utiliser le mot de passe de votre compte pour décrypter tous les mots de passe de votre compte afin de déterminer s’ils ont été piratés ou s’ils sont particulièrement faibles. Cela permet à un attaquant, avec le contrôle de la session d’une machine, d’utiliser le gestionnaire psasword en ligne pour extraire facilement les mots de passe. Il est possible de désactiver cette option en utilisant un mot de passe de cryptage « Choisir comme phrase secrète », qui désactive la fonctionnalité de vérification du mot de passe mais empêche Google de pouvoir décrypter vos mots de passe en ligne.
Il y a plusieurs points à retenir:
- Si vous utilisez Chrome pour mémoriser vos mots de passe, et qu’il crypte vos mots de passe avec le mot de passe de votre compte par défaut, il est possible que passwords.google.com soit une vulnérabilité de sécurité. De vrais gestionnaires de mots de passe sont préférables. Si vous n’utilisez pas un véritable gestionnaire de mots de passe et que vous souhaitez continuer à utiliser passwords.google.com avec Chrome, choisissez au moins une phrase de passe différente dans votre compte actuel.
- Si vous ne savez pas si quelqu’un utilise votre compte Google, vous pouvez vérifier le https://g.co/securityCheckup page pour voir quels appareils et emplacements ont utilisé votre compte récemment, et vous pouvez les révoquer à partir de là
- La sécurité de 2FA n’est pas remise en question ici, juste s’il est temporairement désactivé pour la commodité de l’utilisateur est une fonctionnalité ou un bug
- Google propose également un programme de protection avancée qui n’aurait pas empêché cette attaque, mais qui pourrait intéresser les lecteurs: https://landing.google.com/advancedprotection/
Le compte rendu complet d’Amos de cet incident est disponible sur Méfiez-vous de Google Password Manager.
Que pensez-vous de cette situation? Est-ce la commodité du consommateur et la pensée de l’utilisateur, ou est-ce une vulnérabilité de sécurité qui devrait être corrigée? Ajoutez vos commentaires ci-dessous.
.