La méthode d’authentification FIDO (Fast Identity Online), reconnue comme l’une des plus sûres et résistantes au phishing à ce jour, pourrait présenter des vulnérabilités inattendues. Une étude menée par la société de cybersécurité Proofpoint alerte sur l’émergence d’un nouveau type d’attaque de dégradation permettant aux cybercriminels de contourner ce système, mettant en péril aussi bien les utilisateurs que les organisations.
L’attaque exploite une faille liée au fait que tous les navigateurs web ne prennent pas en charge la norme FIDO2 avec Microsoft Entra ID. Les assaillants peuvent exploiter une manipulation pour faire croire à l’authentification via un navigateur non compatible, ce qui force le système à recourir à une méthode d’authentification moins robuste. Cela ouvre la voie au vol de crédentials et de cookies de session, augmentant le risque de prise de contrôle des comptes.
Conçue pour réduire la dépendance aux mots de passe et lutter contre le phishing, la technologie FIDO combine des clés de sécurité physiques avec la biométrie ou un code PIN. Normalement, cette configuration empêche la plupart des attaques de phishing traditionnelles. Toutefois, l’étude met en garde contre la possibilité, à terme, de créer des “phishlets” ciblés, des petits outils de phishing spécialisés, qui pourraient rendre cette méthode vulnérable.
À ce stade, Proofpoint n’a pas observé d’incidents concrets liés à ces attaques. La majorité des cybercriminels privilégient encore des méthodes plus simples, telles que l’exploitation de mots de passe faibles ou l’authentification à un seul facteur. Néanmoins, les experts craignent que des groupes plus avancés, notamment ceux soutenus par des États, n’adoptent cette nouvelle technique dans un futur proche.
« Les clés d’accès basées sur FIDO restent parmi les meilleures protections face au phishing et à la prise de contrôle des comptes », déclarent les spécialistes de Proofpoint. « Pour l’instant, les attaquants se concentrent sur des systèmes moins protégés, mais il est plausible que leurs stratégies évoluent pour exploiter ces vulnérabilités potentielles. »
