La meilleure façon de prévenir les attaques de fatigue de la MFA dans les organisations est de ne pas utiliser les notifications push
JOHANNESBOURG, Afrique du Sud, 17 avril 2024/ — L’authentification multifacteur est une mesure de sécurité qui exige des utilisateurs qu’ils fournissent une deuxième forme de vérification avant de pouvoir se connecter à un réseau d’entreprise. Elle a longtemps été considérée comme essentielle pour empêcher les fraudeurs. Cependant, les cybercriminels ont découvert des moyens de plus en plus intelligents pour la contourner.
Lors d’une attaque contre les systèmes informatiques d’Uber en 2022, les pirates n’ont utilisé aucune tactique sophistiquée pour accéder au système. Au lieu de cela, ils ont bombardé un employé de demandes de connexion répétées jusqu’à ce que, par pure frustration, l’employé en approuve une. Ce type de cyberattaque est connu sous le nom d’« attaque de fatigue de la MFA » et constitue un risque réel pour les organisations, déclare Anna Collard, SVP Content Strategy and Evangelist chez KnowBe4 AFRICA, concepteur de formations en cybersécurité.
« Les attaques de « MFA fatigue », également connues sous le nom de spamming de prompts ou de bombardement d’authentification, exploitent la vulnérabilité humaine plutôt que de compter sur des méthodes de piratage de haute technologie », explique-t-elle. « Ces attaques impliquent l’envoi de notifications push continues à une cible qui a déjà fourni son nom d’utilisateur et son mot de passe, dans le but de l’irriter ou de la confondre pour qu’elle accorde involontairement à l’attaquant l’accès à son compte ou à son système ».
Avec Uber, l’attaquant a probablement acheté le nom d’utilisateur et le mot de passe Uber de l’entreprise du contractant sur le dark web. L’attaquant a ensuite fait des tentatives répétées pour se connecter au compte Uber de la victime. Chaque fois, la victime a reçu une demande d’approbation d’une connexion à deux facteurs, ce qui a bloqué l’accès au début. Finalement, et après que l’attaquant ait contacté l’entrepreneur sur WhatsApp en prétendant qu’il était du service informatique d’Uber et que le seul moyen de se débarrasser des notifications sans fin était d’en accepter une, l’entrepreneur a accepté une demande, permettant à l’attaquant de se connecter avec succès.
Auparavant, les experts en cybersécurité croyaient que l’authentification multifacteur (MFA) était une méthode infaillible pour protéger les systèmes informatiques des entreprises contre les pirates. « Maintenant, nous voyons des attaquants trouver des moyens de la contourner en bombardant la victime avec des dizaines de demandes MFA ou en la trompant par téléphone », déclare Collard. Cette tactique, similaire à un essaim d’abeilles submergeant quelqu’un, est une technique simple mais efficace d’ingénierie sociale utilisée par les hackers. « En vous dérangeant à plusieurs reprises jusqu’à ce que vous cédiez, les acteurs malveillants peuvent manipuler les utilisateurs pour qu’ils approuvent les tentatives d’accès frauduleuses », explique Collard.
Comment peut-on l’éviter?
La meilleure façon de prévenir les attaques de fatigue de la MFA dans les organisations est de ne pas utiliser les notifications push. « Bien que la MFA fournisse une couche de sécurité supplémentaire, elle n’est pas infaillible », affirme-t-elle. « D’un point de vue de cybersécurité, je recommanderais aux organisations de désactiver complètement les notifications push et d’utiliser plutôt des méthodes de vérification alternatives. »
Un exemple de meilleure méthode de vérification est la correspondance de numéros. « Cela implique de faire correspondre un code unique fourni par l’application d’authentification avec le code affiché à l’écran pendant le processus de connexion », explique Collard.
Une méthode de défi-réponse est un autre moyen efficace de fournir une sécurité supplémentaire. Cette méthode demande à un utilisateur une question spécifique pour vérifier son identité ou d’effectuer une tâche en réponse à un défi. « Une méthode de défi-réponse est plus difficile à contourner pour les pirates. Elle peut impliquer des mécanismes comme l’authentification biométrique, dans laquelle les utilisateurs doivent scanner leurs empreintes digitales ou leurs iris ou utiliser la reconnaissance faciale pour accéder à un réseau ». Cependant, les deux méthodes ci-dessus ne sont pas à l’abri des soi-disant attaques de l’homme du milieu ou d’ingénierie sociale qui trompent les utilisateurs pour leur faire donner leur authentification OTP ou leur réponse au fraudeur.
Une autre méthode de vérification efficace est FIDO2, une norme d’authentification ouverte qui permet aux utilisateurs de se connecter sans utiliser de mots de passe. « Vous pouvez implémenter FIDO2 à l’aide de clés de sécurité matérielles », explique-t-elle. Généralement, les clés USB stockent la clé privée de l’utilisateur, tandis que la clé publique est stockée sur le serveur d’authentification. Dès que l’utilisateur entre son nom d’utilisateur et son mot de passe, le système lui demande d’utiliser la clé matérielle. « Il est plus résistant au hameçonnage car il fonctionne sur un protocole de défi-réponse et ne repose pas sur un code PIN à usage unique qui peut être intercepté », ajoute-t-elle.
La pleine conscience est la clé.
Comme pour toutes les tentatives de piratage, il est crucial que les utilisateurs restent calmes et conscients, plutôt que de réagir émotionnellement. « Restez à l’écoute des réponses de votre corps lorsque vous êtes confronté à des menaces potentielles de cybersécurité, qu’il s’agisse de courriels d’hameçonnage ou d’attaques de fatigue de la MFA », déclare Collard. « Si quelque chose semble étrange, comme si la situation vous mettait sous une pression excessive, écoutez ce signal et ne réagissez pas de manière impulsive. De cette façon, vous garderez la tête froide et déjouerez les violations de données potentielles. »
Distribué par APO Group pour KnowBe4.