Les jetons de rafraîchissement primaires deviennent la cible de vol de choix des pirates

Si vous n'avez pas prêté attention assez étroitement, un nouveau type de jeton de contrôle d'accès, comme un jeton Super Browser sur des stéroïdes, devient la cible de choix de vol des pirates.

If you haven’t been paying attention closely enough, a new type of access control token, like a super browser token on steroids, is becoming hackers' theft target of choice. It is known as a primary refresh token. In the Microsoft ecosystem, it’s the king of tokens.

Si vous n'avez pas prêté attention assez étroitement, un nouveau type de jeton de contrôle d'accès, comme un jeton Super Browser sur des stéroïdes, devient la cible de choix de vol des pirates. Il est connu comme un jeton de rafraîchissement principal. Dans l'écosystème Microsoft, c'est le roi des jetons.

Most access control tokens give users access to a single application, service, or site. If I use my browser to successfully login to an app/service/site, my browser will get a browser “cookie,” which is just a text file usually containing a randomly generated session ID, that gives that browser continued access to that app/service/site without having to re-logon again for a preset number of days or weeks.

La plupart des jetons de contrôle d'accès permettent aux utilisateurs d'accéder à une seule application, service ou site. Si j'utilise mon navigateur pour vous connecter avec succès à une application / service / site, mon navigateur obtiendra un «cookie» du navigateur, qui n'est qu'un fichier texte contenant généralement un identifiant de session généré de manière aléatoire, ce qui donne à ce navigateur l'accès continu à cette application / service / site sans avoir à nouveau à reloger à nouveau pour un numéro prédéfini de jours ou semaines.

My browser gets a separate access control token cookie for each app/service/site I successfully log on to. Most of us, if we go to our cookie directory, will see hundreds of cookies.

Mon navigateur obtient un cookie de jeton de contrôle d'accès séparé pour chaque application / service / site sur lequel je me connecte avec succès. La plupart d'entre nous, si nous allons à notre répertoire des cookies, verront des centaines de cookies.

Hackers and their malware creations love to steal our browser cookies because they act as “bearer tokens.” Whoever has them is essentially seen as us to that app/service/site. Here is a great demo created by the late, great Kevin Mitnick (our former Chief Hacking Officer and owner) on a cookie being stolen and reused.

Les pirates et leurs créations de logiciels malveillants adorent voler nos cookies de navigateur parce qu'ils agissent comme des «jetons porteurs». Celui qui les a est essentiellement considéré comme nous vers cette application / service / site. Voici une grande démo créée par le regretté Kevin Mitnick (notre ancien chef du piratage et propriétaire) sur un cookie volé et réutilisé.

Hackers love cookie theft because it can work whether you are using a password, multi-factor authentication (MFA), biometrics, or some other super-duper authentication method. If the hacker gets your access control token cookie, it’s game over…for you and the involved app/site/service.

Les pirates aiment le vol de cookies car cela peut fonctionner, que vous utilisiez un mot de passe, une authentification multi-facteurs (MFA), une biométrie ou une autre méthode d'authentification super-duper. Si le pirate obtient votre cookie de jeton de contrôle d'accès, c'est un jeu fini… pour vous et l'application / site / service impliqués.

Hackers have been stealing browser cookies for decades, and just now some organizations, like Google, are trying to come up with ways to better protect them, such as device-bound cookies. Still, importantly, none of the existing cookie protections are all that great. Most can still be easily circumvented by hackers. Your cookies are still very valuable to any hacker who has them.

Les pirates volent des cookies de navigateur depuis des décennies, et maintenant certaines organisations, comme Google, essaient de trouver des moyens de mieux les protéger, comme les cookies liés à l'appareil. Pourtant, surtout, aucune des protections de cookies existantes n'est si grande. La plupart peuvent encore être facilement contournés par les pirates. Vos cookies sont toujours très précieux pour tout pirate qui les a.

Most cybersecurity defenders have understood our cookie problem. What most defenders are not aware of is Microsoft’s new primary refresh tokens, which are sort of like an access control token cookie on steroids.

La plupart des défenseurs de la cybersécurité ont compris notre problème de cookies. Ce que la plupart des défenseurs ne sont pas au courant, c'est que les nouveaux jetons de rafraîchissement principaux de Microsoft, qui sont un peu comme un cookie de jeton de contrôle d'accès sur les stéroïdes.

What is a Primary Refresh Token?In short, it’s a Microsoft-only invention used in Microsoft ecosystems (AFAIK) that allows a user or device to access multiple apps/services/sites at once (i.e., Single-Sign-On) and usually for extended periods of time. They’ve been around since at least 2020, but are gaining in popularity.

Qu'est-ce qu'un jeton de rafraîchissement principal? En bref, c'est une invention Microsoft uniquement utilisée dans Microsoft Ecosystems (AFAIK) qui permet à un utilisateur ou un appareil d'accéder à plusieurs applications / services / sites à la fois (c'est-à-dire un seul signe) et généralement pendant de longues périodes. Ils existent depuis au moins 2020, mais gagnent en popularité.

Microsoft describes them this way:

Microsoft les décrit de cette façon:

“A Primary Refresh Token (PRT) is a key artifact of Microsoft Entra [formerly Microsoft Azure AD] authentication on Windows 10 or newer, Windows Server 2016 and later versions, iOS, and Android devices. It's a JSON Web Token (JWT) specially issued to Microsoft first party token brokers to enable single sign-on (SSO) across the applications used on those devices.

«Un jeton de rafraîchissement principal (PRT) est un artefact clé de l'authentification Microsoft Entra [anciennement Microsoft Azure AD] sur Windows 10 ou plus récent, Windows Server 2016 et versions ultérieures, iOS et appareils Android. Il s'agit d'un jeton Web JSON (JWT) spécialement émis aux courtiers de jetons Microsoft First Party pour activer la connexion unique (SSO) sur les applications utilisées sur ces appareils.

In this article, provide details on how a PRT is issued, used, and protected on Windows 10 or newer devices. We recommend using the latest versions of Windows 10, Windows 11 and Windows Server 2019+ to get the best SSO experience.”

Dans cet article, fournissez des détails sur la façon dont un PRT est émis, utilisé et protégé sur Windows 10 ou des appareils plus récents. Nous vous recommandons d'utiliser les dernières versions de Windows 10, Windows 11 et Windows Server 2019+ pour obtenir la meilleure expérience SSO. »

When you logon to a Microsoft ecosystem, especially using a device officially “registered” with Microsoft Entra, a primary refresh token could/will be issued to your user for a particular device. It contains your device ID and an encrypted session symmetric key.

Lorsque vous vous connectez à un écosystème Microsoft, en particulier en utilisant un appareil officiellement «enregistré» auprès de Microsoft ENTRA, un jeton de rafraîchissement principal pourrait / sera émis à votre utilisateur pour un appareil particulier. Il contient votre ID de périphérique et une clé symétrique de session cryptée.

When you log in to the Microsoft ecosystem (e.g., Microsoft Entra, Microsoft O365, etc.), your Microsoft Windows 10/Microsoft Windows Server 2016 or later device will communicate with the Windows Cloud Authentication Provider. The Microsoft Entra plug-in will validate your credentials (e.g., password, MFA, Windows Hello, etc.) and return a primary refresh token and the included session key.

Lorsque vous vous connectez à l'écosystème Microsoft (par exemple, Microsoft Entra, Microsoft O365, etc.), votre appareil Microsoft Windows 10 / Microsoft Windows Server 2016 ou ultérieure communiquera avec le fournisseur d'authentification Windows Cloud. Le plug-in Microsoft ENTRA validera vos informations d'identification (par exemple, mot de passe, MFA, Windows Hello, etc.) et renvoie un jeton de rafraîchissement principal et la clé de session incluse.

Windows will encrypt the session key with the Trusted Platform Module (TPM) chip encryption key (if available) and then store it locally using Windows Local Security Authority Subsystem Service (LSASS), where Microsoft stores and processes a lot of authentication info.

Windows cryptera la touche de session avec la touche de cryptage de puce de plate-forme fiduciaire (TPM) (si disponible), puis la stocker localement à l'aide du service de sous-système de sécurité locale de Windows (LSASS), où Microsoft stocke et traite de nombreuses informations d'authentification.

You can see if you and your device have a primary refresh token is present on a device running the following command in a command prompt:

Vous pouvez voir si vous et votre appareil avez un jeton de rafraîchissement principal est présent sur un appareil exécutant la commande suivante dans une invite de commande:

dsregcmd /status and then ENTER.

dsregcmd / status puis entrez.

Find the "SSO state" section and look for the "AzureAdPrt" value. It will be set to "YES" if you have a primary refresh token or "NO" if you don’t. The session key is the “bearer token.” There is currently no way to see “inside” a primary refresh token the way you can a browser cookie. You could be issued multiple primary refresh tokens, one for each user work account registered to the device.

Trouvez la section "SSO State" et recherchez la valeur "azureadprt". Il sera défini sur "Oui" si vous avez un jeton de rafraîchissement principal ou "non" si vous ne le faites pas. La clé de session est le «jet de support». Il n'y a actuellement aucun moyen de voir «à l'intérieur» un jeton de rafraîchissement principal comme vous pouvez un cookie de navigateur. Vous pouvez recevoir plusieurs jetons de rafraîchissement primaires, un pour chaque compte de travail utilisateur enregistré sur l'appareil.

An issued primary refresh token is good for two weeks (14 days) and continuously renewed every 4 hours as long as the related user is active on

Un jeton de rafraîchissement primaire émis est bon pendant deux semaines (14 jours) et renouvelé en continu toutes les 4 heures tant que l'utilisateur connexe est actif