Disfonctionnement des authentifications à deux point de Google

Il y a quelques jours, Amos, également connu sous le nom de @fasterthanlime , a connu un événement d’extraction de mot de passe par des pirates informatiques et, par conséquent, a été laissé de sa poche par quelques centaines d’euros. Cependant, cette attaque a été facilitéepar le fait que les attaquants ont pu désactiver l’authentification à deux facteurs sur **password.google.com** de Google sans avoir besoin
de confirmer par le mécanisme d’authentification à deux facteurs, ce quiva à l’encontre du point d’activer l’authentification à deux facteurs .
En outre, l’enquête ultérieure a suggéré que les mots de passe stockés dans **password.google.com** peuvent être facilement extraits, ce qui pose une question plus importante concernant la sécurité du service.
InfoQ a contacté l’ingénieur de sécurité de Google qui a répondu et mettra à jour cet article lorsque nous recevrons de plus amples informations.

Le point d’entrée de la vulnérabilité était une session de type VNC à distance exposée, qui permettait aux attaquants d’accéder au système de fenêtrage macOS qui était utilisé à l’époque. Le service utilisait NoMachine, qui exposait le port du 4000 à Internet sans authentification, ce qui, comme le note Amos, était leur erreur.
Cependant, les problèmes les plus importants sont survenus car Amos avait utilisé Safari sur macOS pour se connecter à son compte. Safari se souvenait “utilement ‘’ du mot de passe avec remplissage automatique, et c’est ce qui permettait aux pirates d’accéder ultérieurement aux détails d’Amos.

Depuis qu’Amos s’est récemment connecté sur cette machine, Google a mis en cache un jeton de session récente sur sa machine (probablement avec une vérification 2FA). Cela a permis aux attaquants, un certain temps plus tard, de réutiliser le mot de passe mis en cache dans le remplissage automatique de Safari, pour actualiser le jeton de session et, avec lui, le pouvoir de désactiver 2FA sur le compte. C’est apparemment voulu par le fait que si vous êtes connecté à un ordinateur et que vous connaissez le mot de passe, vous devez sûrement être la même personne qui n’attaque pas votre machine pour le moment. Si vous vous êtes connecté récemment, vous avez une session bénie, et tout ce dont vous avez besoin est un seul facteur - le mot de passe - pour actualiser le jeton de session bénie, et vous êtes prêt à partir.
Vous pouvez désactiver Google 2FA sans avoir besoin du jeton 2FA.

Cela semblerait être la sécurité 101, mais apparemment afin de faciliter la tâche des utilisateurs et pour éviter qu’ils n’aient à taper fréquemment leur jeton 2FA, il suffit d’avoir récemment ouvert une session sur une machine pour convaincre Google que vous pouvez sécuriser changements de niveau, si vous connaissez le mot de passe. En d’autres termes, c’est 2FA, sauf si vous êtes connecté, auquel cas c’est 1FA. L’argument est: eh bien, vous vous êtes connecté à votre machine, elle est forcément sécurisée , non?

La suite ICI