Chaque jour, les gens sont bombardés de notifications. Cliquez sur ceci, appuyez sur cela, des bips, des alarmes, des sonneries, la liste est longue. Parfois, on se demande comment quelqu'un arrive à faire quelque chose.
Lorsque vous faites quelque chose de manière répétée, cette chose devient routinière au point que vous n'y prêtez même plus attention. Pensez au nombre de fois où vous avez entendu quelqu'un dire qu'il faisait quelque chose "sans réfléchir". Et tous les cybercriminels savent que chaque fois que les gens sont distraits ou débordés, c'est une occasion à saisir. Les actions que vous faites automatiquement sans aucune émotion consciente ou délibération sont faciles à exploiter.
Authentification multifactorielle (MFA) est largement considéré comme une étape critique dans l'amélioration de la sécurité. Au lieu d'exiger un nom d'utilisateur et un mot de passe pour accéder à une ressource, l'AMF ajoute un autre "facteur" d'identification, tel qu'un passe, un mot de passe à approuver, un mot de passe à usage unique (OTP), des données biométriques ou un jeton matériel. L'AMF améliore la sécurité car, même si l'un des justificatifs est compromis, en théorie, un utilisateur non autorisé ne pourra pas satisfaire à la deuxième exigence d'authentification.
Le problème de l'AMF est qu'elle peut être ennuyeuse. Comme tout autre type de notification, si vous en recevez beaucoup, vous risquez de ne pas y prêter autant d'attention que vous le devriez. Et c'est sur cela que comptent les acteurs de la menace. Ils espèrent que ces utilisateurs distraits leur donneront les identifiants MFA dont ils ont besoin pour s'authentifier dans un environnement sécurisé. Cette tactique est connue sous le nom de "fatigue MFA", et elle a fait l'objet d'une plus grande attention en raison de brèches très médiatisées dans des entreprises telles que Uber, Cisco, Twitter, Robinhood, Okta, et Utilisateurs d'Office 365.
La fatigue de l'AMF est un type d'attaque par hameçonnage. Dans le Cadre ATT&CK de MITRE, Il est défini comme un moyen de "contourner les mécanismes d'authentification multi-facteurs (AMF) et d'accéder aux comptes en générant des demandes d'AMF envoyées aux utilisateurs".
L'attaque fonctionne de la manière suivante : un pirate accède au nom d'utilisateur et au mot de passe d'un employé, qu'il utilise ensuite pour tenter de se connecter. Cela déclenche une notification push multifactorielle, qui tend à être la plus vulnérable à la fatigue de l'AMF. Souvent, la notification est une nouvelle fenêtre ou une fenêtre contextuelle qui apparaît sur un smartphone et qui demande à l'employé d'approuver ou de refuser la demande. Ces écrans "Est-ce vraiment vous ?" sont si courants que les employés se contentent souvent de cliquer pour les faire disparaître, afin de pouvoir continuer leur journée.
Les acteurs de la menace imiteront ces confirmations par cœur plusieurs fois, en espérant surprendre l'utilisateur dans un moment d'inattention. Si ces demandes ne fonctionnent pas, les pirates passent à la vitesse supérieure. Parfois, ils inondent le programme d'authentification de l'utilisateur de notifications multiples, ce qui revient à spammer le téléphone de l'utilisateur. Et si cela ne fonctionne pas, ils peuvent utiliser d'autres tactiques d'ingénierie sociale, comme appeler ou envoyer des textes en se faisant passer pour le personnel informatique ou une autre autorité pour convaincre l'utilisateur d'accepter la notification MFA.
Tout comme le fait de cliquer sur un lien dans un courriel de phishing ou sur un site de logiciels malveillants, l'approbation d'une notification d'AMF peut avoir des conséquences catastrophiques. Une fois qu'un pirate s'est introduit dans le réseau, il fait généralement de son mieux pour trouver des moyens de se déplacer et d'accéder à d'autres systèmes critiques. Si une entreprise a mis en œuvre diverses mesures de sécurité de type "zéro confiance", telles que l'accès au moindre privilège, la surveillance des terminaux et la gouvernance des identités, elle peut à la fois réduire la probabilité de compromission des informations d'identification et empêcher un pirate de faire beaucoup de dégâts. Mais la plupart des entreprises présentent des failles de sécurité qui peuvent être utilisées pour obtenir un accès. Dans le cas de l'attaque d'Uber, l'intrus a pu trouver un script qui lui a permis d'accéder à la plateforme de gestion des accès privilégiés (PAM) de l'entreprise.
Éduquer
Il ne s'agit peut-être pas d'une solution high-tech passionnante, mais l'éducation des utilisateurs est l'élément le plus important pour empêcher ces types d'attaques de type "prompt bombing" de réussir. C'est un peu comme si quelqu'un frappait à votre porte ou utilisait une sonnette pour entrer dans votre immeuble. Vous ne les laissez pas entrer sans regarder par la fenêtre ou sans demander "qui c'est ?". Si vous recevez une notification push, réfléchissez avant de cliquer. Pourquoi approuver une demande de connexion alors que vous ne vous connectez pas ? La réponse est que vous ne devriez absolument pas le faire.
Disposer de la bonne technologie
Bien qu'il soit essentiel d'éduquer les utilisateurs sur les risques liés à l'AMF, la technologie peut également les aider. En fournissant un contexte supplémentaire dans la notification MFA, les utilisateurs peuvent prendre une décision éclairée quant à l'approbation. Par exemple, certaines solutions d'AMF affichent l'horodatage, l'application et/ou le lieu dans la notification. D'autres affichent un code de connexion unique sur la page de connexion web qui doit être comparé au même code dans la notification. Vous pouvez également envisager d'utiliser des codes OTP plutôt que des codes "push", qui ont tendance à être plus résistants face à ces attaques. Quelle que soit la solution choisie, ces techniques réduiront la possibilité que les utilisateurs finaux approuvent accidentellement des demandes qu'ils n'ont pas initiées.
Engager l'accès adaptatif
Les solutions ne doivent pas être uniformes : le contexte peut également être utilisé pour atténuer les attaques de fatigue de l'AMF en limitant la capacité de l'attaquant potentiel à spammer des utilisateurs peu méfiants. Accès adaptatif et l'authentification basée sur le risque peut limiter les demandes de connexion à des emplacements de confiance spécifiques ou à des appareils connus, l'analyse comportementale peut aider à détecter les activités de connexion anormales, et la limitation du taux peut étrangler les tentatives de connexion infructueuses consécutives.
Se passer de mot de passe
Dans la mesure du possible, il convient d'envisager des méthodes sans mot de passe comme alternative à l'AMF basée sur la notification. FIDO2, par exemple, est spécifiquement conçu pour résister au phishing et aux attaques de type "man in the middle" (MitM) ou "adversary in the middle" (AitM) en exigeant une connexion cryptographique directe entre l'authentificateur et l'application web. Cependant, même avec des méthodes résistantes à l'hameçonnage telles que FIDO, la sécurité de l'AMF dépend du cycle de vie des informations d'identification. Ce cycle de vie commence par Inscription au MAE, mais comprend également des événements tels que l'utilisation d'un appareil le remplacement et la réinitialisation des informations d'identification. Ces activités sont parmi les plus susceptibles de permettre aux pirates d'obtenir un accès non autorisé.
Contrôler en permanence
Enfin, les organisations doivent reconnaître que la prévention n'est que la moitié de la solution. Les systèmes d'identité doivent également contribuer à la détection et à la correction des attaques en cours. Les échecs de connexion consécutifs ou les tentatives de connexion excessives sont deux exemples d'indicateurs potentiels d'activité suspecte. Ces informations peuvent être introduites dans les solutions de gestion des informations et des événements de sécurité (SIEM) en vue d'un examen plus approfondi par le personnel des opérations de sécurité, ou être utilisées pour déclencher un examen du compte dans le cadre d'une enquête de sécurité. gouvernance et administration de l'identité (IGA).
En éduquant les utilisateurs et en mettant en place des contrôles plus robustes autour de leurs processus MFA, les organisations peuvent réduire le risque de lassitude à l'égard du MFA. Il est également important de s'assurer que l'entreprise avec laquelle vous travaillez dispose de protections sur ses systèmes. RSA propose un livre blanc qui fournit une vue d'ensemble de nos politiques de sécurité et des informations sur nos mesures de sécurité, y compris nos pratiques, nos opérations et nos contrôles concernant ID Plus. Pour obtenir des informations en temps réel sur les performances de notre système et des avis de sécurité, vous pouvez consulter notre site Web à l'adresse suivante page de sécurité.
L'approche de RSA est plus résistante à la lassitude de l'AMF : c'est pourquoi les organisations soucieuses de la sécurité se tournent vers nous pour les aider à protéger leurs activités. Pour plus d'informations sur les risques d'authentification et sur la manière dont RSA peut vous aider à vous éloigner d'une sécurité reposant sur les mots de passe, consultez notre résumé de la solution : Authentification sans mot de passe : Le moment est venu et l'aide est là.
###
Essayez gratuitement la solution MFA en nuage la plus déployée au monde.
