Une vulnérabilité présente sur le protocole IMAP permet le contournement de l'authentification à multiples facteurs

L’équipe de développement de Proofpoint a mené une étude de sécurité ces 6 derniers mois révélant une vulnérabilité considérée comme critique sur le protocole IMAP (Internet Message Access Protocol). Les attaquants ont exploité cette vulnérabilité afin de contourner l’authentification à multiples facteurs mise en place sur Office 365 de Microsoft et G Suite de Google. Cette attaque est simple à mettre en œuvre et ne nécessite que les identifiants de comptes compromis pour s’authentifier. L’impact estimé sur la confidentialité et l’intégrité des données est élevé.

IMAP est un protocole de messagerie qui permet de récupérer des mails stockés sur un serveur, la connexion entre le client et le serveur étant généralement sécurisée à l’aide du protocole d'échange sécurisé TLS. Les comptes de messagerie partagés que sontG Suite et Office 365 utilisent ce protocole et demeurent ainsi particulièrement vulnérables.

Proofpoint a par ailleurs observé durant son étude que :

  • 40 % des attaques avaient pour origine une adresse IP nigériane et 26 % une adresse IP chinoise ;
  • 60 % des utilisateurs de G Suite et Office 365 ont été la cible de cette attaque avec un taux de réussite de 25 % ;
  • Le taux d'attaque réussie s'élève à 44 % lorsqu'il s’agit d’une attaque ciblée envers une organisation.

Détails techniques :

Étant donné qu’IMAP permet le contournement de l’authentification à multiples facteurs, le mot de passe devient le seul mode d’authentification requis.

Ces identifiants sont en général obtenus par l'intermédiaire de fuites massives de données. L'étude montre sur ce point qu'après la diffusion de Collection #1, ce type d'attaque s'est largement répandu. Pour parvenir à obtenir davantage d'identifiants et ainsi étendre la surface d’attaque, les attaquants utilisent en complément l’hameçonnage interne plus difficilement détectable :

  • Lorsque l’attaquant ne dispose pas d'identifiants valides, il initie son attaque par une campagne d’hameçonnage envers la cible qui sera alors la porte d’entrée vers l’organisation ;
  • L'attaque est réussie lorsque la cible clique sur un lien malveillant et retourne à son insu ses identifiants à l'attaquant ;
  • L’attaquant utilise ensuite un service d’anonymisation de type VPN et se connecte à la place de la cible avec les identifiants obtenus ;
  • De la même manière, il effectue cette fois une campagne d’hameçonnage auprès des autres utilisateurs de l'organisation ;
  • Pour se maintenir au sein de l’organisation, l’attaquant est parfois amené à changer les règles de sécurité ou à effectuer une attaque de type homme du milieu.

IMAP reste à l'heure actuelle un protocole toujours très utilisé. Aucun correctif n'est disponible pour se prémunir de ce type d'attaque.

Informations
+

Risques

  • Atteinte à la confidentialité des données.

Criticité

  • Score CVSS : (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Protocole IMAP dans G Suite et Office 365

CVE

  • N/A

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif n'est pour l'instant disponible.

Solution de contournement

  • Sensibiliser les collaborateurs à l'hameçonnage, ne pas cliquer sur un lien ou une pièce jointe dont on ne connaît pas l'identité de l'expéditeur ;
  • Avoir une politique de mot de passe qui impose un mot de passe complexe et renouvelé à échéance régulière.