Passkeys Pwned, c’est le nom de la vulnérabilité majeure découverte dans les passkeys par la société SquareX. Est-ce réellement une faille de sécurité ou plutôt un argument commercial ? Faisons le point.
Passkeys Pwned : une attaque qui nécessite un navigateur déjà compromis
À l’occasion de la conférence DEFCON 33, SquareX a mis en lumière une attaque capable de mettre à mal la sécurité des passkeys, pourtant considérée comme inviolable en comparaison des mots de passe. En réalité, l’attaque Passkeys Pwned n’est pas une vulnérabilité inhérente aux passkeys eux-mêmes.
L’attaque ne peut aboutir qu’à une condition préalable : la victime doit avoir été piégée par un acte malveillant (ingénierie sociale) l’incitant à installer une extension piégée sur son navigateur.
Une fois installée, cette extension malveillante est capable d’intercepter le processus de création d’un nouveau passkey pour un service légitime, que ce soit les services de Google (Gmail, etc.) ou de Microsoft comme Microsoft 365. Cette action va permettre au logiciel malveillant de générer sa propre paire de clés cryptographiques et la lier au domaine associé au service, mais en conservant le contrôle total sur celle-ci. Ainsi, l’attaquant dispose d’un accès direct au compte de l’utilisateur.
Dans leur publication, les chercheurs de SquareX affirment : “Cette découverte brise le mythe selon lequel les passkeys ne peuvent pas être volés, démontrant que le ‘vol de passkey’ est non seulement possible, mais aussi trivial que le vol d’identifiants traditionnels.”
Pourtant, la méthodologie employée amène à faire un constat : l’attaque ne permet pas de voler une passkey existante, puisqu’il s’agit ici d’influencer le processus de création d’une nouvelle passkey. De plus, cette attaque implique d’avoir compromis la machine de l’utilisateur au préalable.
Le vol, un terme inapproprié
Dans le cas présent, le terme “vol” semble inapproprié puisque cette attaque ne permet pas de subtiliser une passkey déjà existante sur l’appareil de l’utilisateur. Même sur un navigateur infecté par un logiciel malveillant, la clé d’accès existante ne pourra pas être volée.
De plus, l’attaque opère sur un système déjà compromis, comme dans d’autres cas, notamment si l’on compare cette attaque au comportement d’un malware de type “infostealer”. Ce qui est plus contradictoire dans le cas présent, c’est ce que nous disent les spécifications du protocole FIDO, qui régit les passkeys.
Leur approche de la sécurité repose sur l’hypothèse que le système d’exploitation et le navigateur sont fiables. Une attaque visant un passkey via un malware installé dans le navigateur revient à dire qu’une porte blindée ne sert à rien si l’intrus possède déjà les clés de la maison. Autrement dit, dès lors que le navigateur est compromis, aucune technologie web ne peut offrir de véritable garantie (notamment parce que le navigateur est en bout de chaine).
D’après des propos recueillis par ArsTechnica, Kenn White, un ingénieur en sécurité qui travaille pour le secteur bancaire, pense surtout que cette attaque est un argument commercial : “De mon point de vue personnel, cela ressemble à un argumentaire de vente douteux pour un produit commercial. Si vous êtes victime d’ingénierie sociale et que vous ajoutez une extension malveillante, TOUS les modèles de confiance du web sont brisés.”
À ce stade, les passkeys demeurent une option d’authentification fiable et nettement plus sécurisée que les mots de passe classiques (qui eux peuvent être volés). L’aspect positif est que cette technologie fait l’objet de tests approfondis de la part des chercheurs.
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.