Les applications SaaS telles que Microsoft 365 et Google Workspace constituent des outils indispensables à la productivité, à la communication et à la collaboration dans le monde moderne, ce qui en fait des cibles de choix pour les cybercriminels. Selon une étude récente, les violations de sécurité touchant les applications SaaS ont augmenté de 300 % entre septembre 2023 et 2024.
De nombreuses entreprises mettent aujourd'hui en place des mesures de sécurité rigoureuses, telles que les jetons de sécurité, afin d'empêcher les cybercriminels d'accéder à leurs systèmes et à leurs données. Ces jetons vont au-delà des mots de passe pour renforcer encore davantage la sécurité en authentifiant et en autorisant les utilisateurs dans le cadre de l'authentification à deux facteurs (2FA) et de l'authentification multifactorielle (MFA). Cependant, les cybercriminels ont trouvé de nouvelles méthodes pour voler ces jetons et contourner l'authentification multifactorielle.
Cette année encore, un MSP a raconté sur Reddit que la messagerie Microsoft 365 d'un client avait été piratée alors que l'authentification à plusieurs facteurs (MFA) était activée, et a demandé à la communauté comment les pirates avaient réussi à la contourner.
Détecter et corriger automatiquement les menaces de sécurité liées aux solutions SaaS
Grâce SaaS Alerts de Kaseya, SaaS Alerts pouvez détecter les violations de sécurité, générer des alertes instantanées et verrouiller les comptes concernés, ce qui vous permet de réagir rapidement aux incidents de sécurité liés aux services SaaS
CommencerLes cybercriminels recourent à des méthodes de plus en plus sophistiquées, telles que le vol de jetons et le détournement de session, pour contourner l'authentification multifactorielle (MFA). Cependant, de nombreuses entreprises et prestataires de services ne sont pas pleinement conscients de ces méthodes d'attaque.
Dans cet article, nous allons examiner en détail ce qu'est le vol de jetons, comment il fonctionne et ce que vous pouvez faire pour protéger vos environnements SaaS, vos utilisateurs finaux et vos données.
Qu'est-ce que le vol de jetons ?
Le vol de jetons consiste à dérober des jetons de session ou des clés cryptées numériquement afin d'obtenir un accès non autorisé à des comptes ou à des systèmes. Le vol de jetons représente une menace majeure pour les organisations, car dès lors que des pirates informatiques s'emparent de jetons de connexion, ils peuvent usurper l'identité d'un utilisateur ou accéder à des informations sensibles, même lorsque des mots de passe ou une authentification multifactorielle (MFA) sont en place.
Traditionnellement, les utilisateurs saisissent leur nom d'utilisateur et leur mot de passe chaque fois qu'ils souhaitent accéder à un service ou à un système. Les utilisateurs qui recourent à l'authentification par jeton ne se connectent qu'une seule fois, et leurs identifiants sont vérifiés via des processus tels que l'authentification multifactorielle (MFA). Après la connexion initiale, le système émet un jeton sécurisé (tel qu'une clé numérique) qui prouve que l'utilisateur est authentifié et lui permet d'accéder aux ressources protégées pendant une durée déterminée. Les cybercriminels cherchent à exploiter cette faille en volant des jetons de session valides.
Parmi les types de jetons couramment utilisés dans les systèmes modernes d'authentification et de sécurité, on trouve les jetons matériels tels que les clés de sécurité FIDO 2, les jetons logiciels comme Google Authenticator ou Microsoft Authenticator, ainsi que les jetons d'accès, les jetons API, les jetons d'identification et les jetons de rafraîchissement.
Comment fonctionne le vol de jetons et quelles sont les méthodes utilisées
Les jetons volés permettent aux pirates informatiques de contourner les contrôles de sécurité tels que les mots de passe et l'authentification multifactorielle (MFA), d'usurper l'identité d'utilisateurs et d'accéder à des comptes ou à des systèmes.
Lorsqu'un utilisateur se connecte à une application SaaS, telle que Microsoft 365 ou Google Workspace, le système génère un jeton d'authentification (un jeton Web JSON (JWT) ou un cookie de session). Ce jeton permet à l'utilisateur d'accéder à l'application et à ses ressources sans avoir à se reconnecter à plusieurs reprises. Il est stocké sur l'appareil de l'utilisateur (dans la mémoire du navigateur, en mémoire vive ou dans les cookies de session) afin de maintenir l'authentification de l'utilisateur et de préserver une connexion continue.
Si des cybercriminels parviennent à dérober ce jeton alors qu'il est encore valide, ils peuvent l'intégrer à leurs propres navigateurs ou outils et obtenir ainsi un accès immédiat au compte de l'utilisateur. Ils peuvent alors se faire passer pour l'utilisateur, dérober des informations sensibles ou mener des actions malveillantes. En résumé, les attaquants détournent de fait la session de l'utilisateur.
Méthodes couramment utilisées pour voler des jetons
Hameçonnage
Les pirates envoient des e-mails de hameçonnage contenant des liens ou des pièces jointes malveillants. En cliquant sur ces liens, les utilisateurs sont redirigés vers des sites de hameçonnage conçus pour imiter de véritables pages de connexion. Les pirates utilisent des kits de hameçonnage AiTM qui capturent à la fois les identifiants de connexion et les jetons, ce qui leur permet de contourner l'authentification à plusieurs facteurs (MFA).
Logiciels malveillants et programmes de vol d'informations
Les cybercriminels utilisent des logiciels malveillants, tels que RedLine ou Raccoon Stealer, pour extraire des jetons et des cookies de session du navigateur ou des appareils d'un utilisateur. Le logiciel malveillant analyse la mémoire du navigateur et celle des applications à la recherche de jetons pouvant être volés.
Attaques de type « man-in-the-middle »
Dans ce type d'attaques, les pirates interceptent les communications réseau afin de capturer les jetons en transit. Ils se placent entre la cible et le service SaaS (par exemple, Microsoft 365). Ils utilisent des outils tels qu'Evilginx (un serveur proxy inverse) qui interceptent les sessions d'authentification et capturent les jetons de session valides.
Réutilisation des jetons et attaques par rejeu
Une fois que les pirates ont dérobé les jetons, ils peuvent les réutiliser à plusieurs reprises pour accéder aux systèmes sans avoir besoin d'identifiants de connexion ni d'authentification multifactorielle. Ces méthodes permettent aux pirates de réutiliser les jetons volés pour usurper l'identité d'un utilisateur ou obtenir un accès non autorisé à un service à plusieurs reprises, jusqu'à ce que les jetons expirent ou soient révoqués.
Vol de jeton ou détournement de session : quelle est la différence ?
Le vol de jetons et le détournement de session sont des vecteurs d'attaque liés mais distincts, qui utilisent des mécanismes différents.
Le vol de jetons consiste à extraire ou à dérober des jetons d'authentification, tels que les jetons OAuth, API ou JWT. En revanche, le détournement de session consiste à prendre le contrôle d'une session active en exploitant un jeton de session volé ou intercepté.
Voici un bref aperçu des différences entre le vol de jetons et le détournement de session.
| Caractéristique | Vol de jetons | Détournement de session |
| En bref | Jeton d'authentification (OAuth, API, JWT) | Identifiant de session ou cookie |
| Méthode d'attaque courante | Hameçonnage, logiciels malveillants, attaque de type « man-in-the-middle » | Attaque par force brute, cross-site scripting (XSS), attaque de type « man-in-the-middle » (MiTM), fixation de session |
| Champ d'application | Plus large (API, applications mobiles, applications web) | Axé principalement sur les sessions Web |
| Persévérance | Plus durable (en fonction de la date d'expiration du jeton) | Pendant la durée de la session ou jusqu'à son expiration |
Figure 1 : Différence entre le vol de jeton et le détournement de session
Les risques et les conséquences du vol de jetons
Le vol de jetons est l'une des principales menaces auxquelles sont confrontées les entreprises aujourd'hui. Les jetons volés permettent aux pirates de :
Contourner l'authentification à deux facteurs
Cela permet aux cybercriminels de contourner les mesures de sécurité telles que les mots de passe, voire l'authentification multifactorielle (MFA). Ils peuvent ainsi obtenir un accès non autorisé de manière persistante sans déclencher d'alertes MFA.
Accès non autorisé au compte
Les pirates utilisent des identifiants volés pour se faire passer pour des utilisateurs. Une fois qu'ils ont accédé à un compte, ils s'attaquent à d'autres plateformes telles que les messageries électroniques, les réseaux sociaux ou les applications d'entreprise. Ils peuvent se déplacer latéralement au sein d'un système ou d'un réseau, ou encore étendre les privilèges d'un compte pour obtenir des autorisations de niveau supérieur et des droits d'administration.
Compromettre des données sensibles
Une fois qu'un compte a été piraté, les cybercriminels peuvent accéder à des ressources sensibles telles que les données des utilisateurs, les documents financiers, les e-mails, les conversations en ligne et d'autres services cloud. Cela peut entraîner une fuite massive de données depuis des plateformes SaaS comme Microsoft 365 et Google Workspace. Les cybercriminels utilisent les informations volées pour exiger une rançon. Souvent, les données exfiltrées sont vendues sur des forums du dark web à des fins lucratives.
Ces risques pourraient avoir pour conséquence des fuites de données, des pertes financières, des cas de non-conformité et une atteinte à la réputation.
Compte tenu des risques qu'il présente, l'équipe DART (Detection and Response Team) de Microsoft étudie de près le vol de jetons et les tactiques utilisées. L'équipe DART de Microsoft a pour objectif de fournir aux équipes informatiques et de sécurité les connaissances et les stratégies nécessaires pour lutter efficacement contre le vol de jetons.
Bonnes pratiques pour prévenir le vol de jetons
Bien que le vol de jetons constitue une menace complexe et contemporaine, vous pouvez prendre certaines mesures pour atténuer ce risque.
Politiques d'accès conditionnel
Les politiques d'accès conditionnel peuvent être mises en œuvre dans des environnements tels que Microsoft Entra ID, Azure AD et Google Workspace. Ces politiques évaluent le contexte d'accès, ce qui peut contribuer à réduire les risques liés au vol de jetons. Sur la base de règles prédéfinies, les politiques d'accès conditionnel vérifient plusieurs facteurs, tels que l'identité de l'utilisateur, la conformité de l'appareil, l'emplacement ou l'adresse IP, l'application à laquelle l'utilisateur tente d'accéder et les évaluations des risques en temps réel, avant d'accorder l'accès.
Sensibiliser les utilisateurs
Si les employés constituent le principal atout d'une entreprise, les comportements à risque des utilisateurs restent l'un des maillons faibles de la cybersécurité. En 2024, plus de 90 % des violations de données étaient liées à une erreur humaine.
Tirez parti des formations à la sensibilisation à la sécurité et des solutions de test de vulnérabilité des utilisateurs, telles que BullPhish ID un composant essentiel de Kaseya 365 ), pour apprendre aux utilisateurs à repérer les e-mails de hameçonnage et les fausses pages de connexion. Sensibilisez-les aux risques liés au fait de cliquer sur des liens inconnus, de réutiliser des mots de passe et d'utiliser un réseau Wi-Fi public sans VPN.
Clés d'accès ou clés matérielles
Utilisez des clés d'accès ou des clés matérielles telles que les clés de sécurité FIDO 2, les clés d'accès Microsoft Authenticator et les clés d'accès Google. Elles offrent une protection supplémentaire, car l'accès à la clé privée nécessite l'utilisation de Face ID, d'une empreinte digitale ou du code PIN de l'appareil. Les clés d'accès constituent un mécanisme d'authentification plus fiable et plus convivial contre les cybermenaces telles que le vol de jetons.
Comment Kaseya 365 contribue à prévenir le vol de jetons
Alors que les cybercriminels et leurs tactiques ne cessent d'évoluer rapidement, les entreprises ont besoin d'une stratégie de défense solide et multicouche pour protéger leurs environnements SaaS, leurs utilisateurs finaux et leurs données à tous les niveaux.
Kaseya 365 est une offre complète par abonnement qui comprend tous les éléments essentiels de cybersécurité pour protéger votre environnement Microsoft 365 ou Google Workspace. Qu'il s'agisse de détecter les activités suspectes en temps réel, de réagir automatiquement aux menaces, de bloquer les e-mails de hameçonnage avant qu'ils n'atteignent les boîtes de réception de vos employés, ou encore de sauvegarder et de restaurer vos données SaaS en toute sécurité, Kaseya 365 est là pour vous.
Notre solution de sécurité révoque automatiquement les jetons de session afin de bloquer tout accès non autorisé et réinitialise les mots de passe dès qu'une attaque est détectée. Elle établit des corrélations entre l'activité des appareils (tels que les habitudes de connexion) et celle des comptes afin d'améliorer la détection des compromissions. En recoupant les données des appareils avec celles des applications SaaS, elle garantit que seuls les utilisateurs autorisés, sur des appareils autorisés, peuvent accéder aux applications SaaS critiques de votre organisation.
Découvrez comment Kaseya 365 vous aide à prévenir les attaques par vol de jetons, à y faire face et à vous en remettre. En savoir plus.
