Pourquoi, en 2018, Microsoft ajoute des questions de sécurité sur Windows 10 ?

Des attaquants avec un contrôle niveau administrateur peuvent abuser la fonctionnalité pour créer une backdoor permanente.





Les questions de sécurité- ces secrets qu’on nous oblige à partager comme seconde forme d’authentification- ont toujours existé et sont utilisées constamment pour gérer les utilisateurs ayant perdu leur mot de passe. C’est un état de fait qui tend à se modifier car des fournisseurs de services manifestement plus éclairés- parmi les plus connus, on citera Google et Facebook- ont récemment supprimé les questions de sécurité après avoir reconnu une chose importante, une chose que Sarah Palin, candidate à la Présidence en 2008, avait appris à ses dépends : les réponses sont faciles à deviner pour les hackers.

Mais Microsoft entre en jeu et plus tôt cette année, l’entreprise décide d’ajouter une fonction avec questions de sécurité sur Windows 10. Elle permet aux utilisateurs de paramétrer une liste de questions de sécurité qui leur seront posées s’il leur arrivait d’oublier le mot de passe d’un de leur compte administrateur. En répondant à des questions telles que « Quel était le modèle de votre première voiture ? », les utilisateurs peuvent reconfigurer le mot de passe perdu et reprendre le contrôle de leur compte. Il n’a pas fallu longtemps aux chercheurs pour identifier les faiblesses de cette fonctionnalité nouvellement introduite. Ils ont présenté leurs découvertes aujourd’hui, lors de la Black Hat Europe Security Conference à Londres.

« Une backdoor solide et furtive »

D’après eux, le problème réside dans le fait que les questions  pour reconfigurer le mot de passe sont trop faciles à paramétrer et il est trop difficile de surveiller cela dans des réseaux constitués de centaines ou de milliers d’ordinateurs. Une seule personne avec des identifiants administrateur peut, à distance, les modifier ou les changer sur n’importe quelle machine Windows 10 et il est compliqué de surveiller ces modifications ou de les changer. Par conséquent, des utilisateurs malveillants – comme un employé mécontent ou un hacker qui arrive à obtenir un contrôle niveau administrateur – peut utiliser les questions de sécurité comme une backdoor qui va lui permettre de prendre ou de reprendre le contrôle.

« Une fois qu’un attaquant pénètre un domaine compromis, chaque machine Windows 10 pour laquelle il dispose d'un accès réseau et de privilèges administrateur peut modifier à distance les questions de sécurité des utilisateurs administrateurs de cette machine et ainsi créer une backdoor des plus discrètes » a déclaré Magal Baz, chercheur en sécurité chez Illusive Networks, dans une interview pour Ars. « Il peut choisir n’importe quelle machine Windows 10 avec la fonctionnalité des questions de sécurité et créer cette backdoor sans avoir à exécuter son propre code, simplement avec un accès à distance, et se créer pour lui-même cette backdoor durable et discrète. »
 

Pour une personne avec un contrôle administrateur du réseau, une technique pour exploiter cette fonctionnalité permet de « diffuser » les questions de sécurité et les réponses correspondantes sur toute une flotte de machines Windows 10. En connaissant les réponses, un attaquant peut s’assurer un contrôle permanent sur le réseau.

Les chercheurs ont aussi décrit une méthode pour accéder à distance à l’écran de paramétrage du mot de passe une fois que les questions de sécurité ont été diffusées. Par défaut, cet écran n’est pas disponible via le bureau à distance de Windows 10. Mais pour rendre Windows 10 compatible avec les versions plus anciennes, le nouvel OS peut être configuré pour que les utilisateurs puissent s’y identifier en utilisant l’écran d’identification habituel, et depuis lequel ils peuvent accéder à l’option de reprogrammation du mot de passe. Après que les attaquants aient eu accès à cet écran et qu’ils aient répondu à une question préalablement configurée pour prendre possession à distance d’un ordinateur, ils peuvent revenir au mot de passe original de l’utilisateur pour éviter de laisser des traces de la prise de contrôle fallacieuse. Ils peuvent le faire en utilisant l’outil Mimikatz pour hasher le précédent mot de passe.

Lorsque les chercheurs ont commencé à s’intéresser aux questions de sécurité de Windows 10, il n’existait aucun outil qui permettait aux administrateurs d’accéder à toutes les machines Windows 10 d’un même réseau et de vérifier si les questions de sécurité avaient été changées et de les reprogrammer si elles l’avaient été. Ils se sont donc attelés à développer un outil open-source en ce sens, qu’ils  ont depuis sorti. Entre autres choses, il permet aux administrateurs de désactiver les questions de sécurité à distance ou de paramétrer des réponses qu’eux-seuls connaissent, comme des ensembles de caractères sans logique.

Les chercheurs ont exhorté Microsoft à améliorer cette jeune fonctionnalité  utilisant les questions de sécurité, soit en concevant un meilleur utilitaire de surveillance directement dans l’OS soit en fournissant d’autres changements qui rendront la fonctionnalité moins prompte à être trompée. Lorsqu’Ars a demandé un commentaire à Microsoft, un porte-parole de la firme a envoyé la réponse suivante : « La technique décrite nécessite qu’un attaquant possède déjà l’accès administrateur. »

La discussion est intitulée « Tout le monde a un chien nommé Fluffy : tromper les toutes nouvelles questions de sécurité sur Windows 10 pour obtenir une persistance à l’échelle du domaine. »
En plus de Baz, Tom Sela, chef de la recherche chez Illusive Networks, a aussi participé à la réflexion. Ils déclarent que leur but est faire prendre conscience au plus grand nombre que la fonctionnalité est prête à être trompée.

« Nous ne sommes pas face à une catastrophe, mais une fonctionnalité de ce genre créée une plus grande surface d’attaque, » a déclaré Baz. « Elle offre plus d’opportunités pour créer une persistance sur les machines. Pour les attaquants, elle ouvre une opportunité dans un réseau compromis. Si cette faiblesse n’est pas réduite, elle servira d’angle mort pour de possibles attaquants. »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *