L’authentification multifacteur est une mesure de sécurité qui exige des utilisateurs qu’ils fournissent une deuxième forme de vérification avant de pouvoir se connecter à un réseau d’entreprise. Elle a longtemps été considérée comme essentielle pour empêcher les fraudeurs. Cependant, les cybercriminels ont découvert des moyens de plus en plus intelligents pour la contourner.
Lors d’une attaque contre les systèmes informatiques d’Uber en 2022, les pirates n’ont utilisé aucune tactique sophistiquée pour accéder au système. Au lieu de cela, ils ont bombardé un employé de demandes de connexion répétées jusqu’à ce que, par pure frustration, l’employé en approuve une. Ce type de cyberattaque est connu sous le nom d’ « attaque de fatigue MFA » et constitue un risque réel pour les organisations.
Harceler les utilisateurs jusqu’à saturation
Les attaques de « MFA fatigue », également connues sous le nom de spamming de prompts ou de bombardement d’authentification, exploitent la vulnérabilité humaine plutôt que de compter sur des méthodes de piratage de haute technologie. Ces attaques impliquent l’envoi de notifications push continues à une cible qui a déjà fourni son nom d’utilisateur et son mot de passe, dans le but de l’irriter ou de la confondre pour qu’elle accorde involontairement à l’attaquant l’accès à son compte ou à son système.
Dans le cas Uber, l’attaquant a probablement acheté le nom d’utilisateur et le mot de passe Uber de l’entreprise du contractant sur le dark web. L’attaquant a ensuite fait des tentatives répétées pour se connecter au compte Uber de la victime. Chaque fois, la victime a reçu une demande d’approbation d’une connexion à deux facteurs, ce qui a bloqué l’accès au début. Finalement, et après que l’attaquant ait contacté l’entrepreneur sur WhatsApp, en prétendant qu’il était du service informatique d’Uber et que le seul moyen de se débarrasser des notifications sans fin était d’en accepter une, l’entrepreneur a accepté une demande, permettant à l’attaquant de se connecter avec succès.
Auparavant, les experts en cybersécurité croyaient que l’authentification multifacteur (MFA) était une méthode infaillible pour protéger les systèmes informatiques des entreprises contre les pirates. Aujourd’hui, les cybercriminels trouvent les moyens de la contourner en bombardant la victime avec des dizaines de demandes MFA ou en la trompant par téléphone. Cette tactique, similaire à un essaim d’abeilles submergeant quelqu’un, est une technique simple mais efficace d’ingénierie sociale utilisée par les hackers. En dérangeant à plusieurs reprises sa victime, jusqu’à ce qu’elle cède, les acteurs malveillants peuvent manipuler les utilisateurs pour qu’ils approuvent les tentatives d’accès frauduleuses.
Comment peut-on l’éviter?
La meilleure façon de prévenir les attaques de fatigue MFA dans les organisations est de ne pas utiliser les notifications push. Bien que la MFA fournisse une couche de sécurité supplémentaire, elle n’est pas infaillible. D’un point de vue de la cybersécurité, il faudrait que les organisations désactivent complètement les notifications push. Aussi, elle devrait plutôt utiliser des méthodes de vérification alternatives.
Un exemple de meilleure méthode de vérification est la correspondance de numéros. Cela implique de faire correspondre un code unique fourni par l’application d’authentification avec le code affiché à l’écran pendant le processus de connexion.
Une méthode de défi-réponse est un autre moyen efficace de fournir une sécurité supplémentaire. Cette méthode demande à un utilisateur une question spécifique pour vérifier son identité ou d’effectuer une tâche en réponse à un défi. Cette méthode est plus difficile à contourner pour les pirates. Elle peut impliquer des mécanismes comme l’authentification biométrique, dans laquelle les utilisateurs doivent scanner leurs empreintes digitales ou leurs iris ou utiliser la reconnaissance faciale pour accéder à un réseau. Cependant, les deux méthodes ci-dessus ne sont pas à l’abri des soi-disant attaques de l’homme du milieu ou d’ingénierie sociale qui trompent les utilisateurs pour leur faire donner leur authentification OTP ou leur réponse au fraudeur.
Une autre méthode de vérification efficace est FIDO2, une norme d’authentification ouverte qui permet aux utilisateurs de se connecter sans utiliser de mots de passe. Les organisations peuvent implémenter FIDO2 à l’aide de clés de sécurité matérielles. Généralement, les clés USB stockent la clé privée de l’utilisateur, tandis que la clé publique est stockée sur le serveur d’authentification. Dès que l’utilisateur entre son nom d’utilisateur et son mot de passe, le système lui demande d’utiliser la clé matérielle. Il est plus résistant au hameçonnage car il fonctionne sur un protocole de défi-réponse et ne repose pas sur un code PIN à usage unique qui peut être intercepté.
La pleine conscience est la clé
Comme pour toutes les tentatives de piratage, il est crucial que les utilisateurs restent calmes et conscients, plutôt que de réagir émotionnellement. Ils doivent rester à l’écoute des réponses de leur intuition lorsqu’ils sont confrontés à des menaces potentielles de cybersécurité, qu’il s’agisse d’emails d’hameçonnage ou d’attaques de fatigue MFA. Si quelque chose semble étrange, comme si la situation créait une pression excessive, les entreprises doivent écouter ce signal et ne pas réagir de manière impulsive. De cette façon, elles gardent la tête froide et déjouent les violations de données potentielles.
____________________________
De Anna Collard, Évangéliste chez KnowBe4 Africa
À lire également :
Cybersécurité : Repenser la sensibilisation des utilisateurs
Comment réussir une campagne de sensibilisation à la sécurité informatique
Construire une entreprise cyber-résiliente de la prévention à la récupération…
La sensibilisation à la sécurité : le nouveau terrain de jeu du marché de la cyber
Vade Secure lance un coach pour sensibiliser les collaborateurs au phishing
puis