Une norme d’authentification sécurisée qui n’est pas si fiable, après tout
Paume faciale : OAuth est un standard ouvert conçu pour partager des informations de compte avec des services tiers, offrant ainsi aux utilisateurs un moyen simple d’accéder aux applications et aux sites Web. Google, l’une des sociétés proposant l’authentification OAuth à ses utilisateurs, semble cacher des « secrets » dangereux dans le protocole.
Un développeur de logiciels malveillants a récemment pu découvrir l’un des secrets OAuth de Google, une fonctionnalité jusqu’alors inconnue nommée « MultiLogin » chargée de synchroniser les comptes Google entre différents services. MultiLogin accepte un vecteur d’ID de compte et de jetons de connexion d’authentification, utilisant ces données pour gérer des sessions simultanées ou basculer de manière transparente entre les profils d’utilisateurs.
MultiLogin est une fonctionnalité de Chromium dont on peut abuser pour compromettre le compte Google d’un utilisateur. Le « bug » a été dévoilé par un développeur de malware connu sous le nom de PRISMA en octobre 2023. Le cybercriminel a partagé des détails sur un exploit critique conçu pour générer des cookies persistants pour un accès « continu » aux services Google, même après la réinitialisation du mot de passe d’un utilisateur.
L’exploit a été révélé pour la première fois sur la chaîne Telegram de PRISMA, et il a rapidement été adapté par divers groupes de logiciels malveillants comme un nouvel outil puissant pour voler les informations d’identification d’accès sur les PC des utilisateurs. Comme l’ont souligné les analystes de CloudSEK, l’exploit 0-day a fourni deux fonctionnalités clés aux créateurs d’infostealers : la persistance de session et la génération de cookies valides.
Les cybercriminels ont rapidement adapté le nouvel exploit, intégrant des fonctionnalités encore plus avancées pour contourner les restrictions de sécurité de Google pour la régénération des jetons. Les logiciels malveillants infostealer récents peuvent infecter le PC d’un utilisateur, analyser la machine à la recherche de cookies de session Chromium, puis exfiltrer et envoyer les données à des serveurs distants contrôlés par des cybercriminels.
Grâce à MultiLogin, les tokens volés peuvent être utilisés pour se connecter avec une identité OAuth même si l’utilisateur modifie son mot de passe Google. L’exploit peut être contré en se déconnectant complètement du compte Google, invalidant les jetons de session et empêchant ainsi toute exploitation ultérieure.
CloudSEK a déclaré que l’exploit MultiLogin souligne la « complexité et la furtivité » des menaces de sécurité modernes. Google a confirmé l’attaque de vol de session, affirmant que ce type de malware n’est pas nouveau. L’entreprise améliore régulièrement sa défense contre ces techniques et a déjà « pris des mesures » pour sécuriser les comptes compromis. Mountain View a également confirmé que les utilisateurs doivent se déconnecter pour révoquer les cookies volés et que la fonctionnalité de navigation sécurisée améliorée du navigateur Chrome peut protéger contre le phishing et les téléchargements de logiciels malveillants.