Forge de clés de passage : exploration de la surface d’attaque FIDO2/WebAuthn
Cet article explore en profondeur la sécurité des clés de passage FIDO2. L’auteur a procédé à une rétro-ingénierie de clés matérielles commerciales et d’authentificateurs de plateforme, construisant un authentificateur purement logiciel imitant un périphérique FIDO2 sans pilote de noyau. Cela a permis de forger et de rejouer des signatures de clés de passage pour des connexions sans tête. Le processus détaillé inclut la capture de trafic réel, le décodage des handshakes HID, la vérification des données d’attestation, la construction d’un moteur logiciel CTAP2 et l’exploitation de l’authentificateur virtuel intégré de Chrome. L’auteur s’est connecté avec succès sans clé de sécurité réelle, soulignant les vulnérabilités et proposant des mesures d’atténuation telles que l’application obligatoire du compteur de signatures, les restrictions d’autorisation CDP et les vérifications côté relying party pour améliorer la sécurité des clés de passage.