Skip to content

Cet article a été publié pour la première fois en 2022 et a été mis à jour. 

Avec des rapports récents sur des bombardements rapides réussis dans le cadre de l'AMF, RSA a reçu davantage de demandes de conseils pratiques sur la manière de réduire les risques. Nous avons déjà expliqué comment les attaquants utilisent des messages d'approbation répétés pour pousser les utilisateurs à accepter une tentative d'ouverture de session frauduleuse. Cet article s'appuie sur cette base et se concentre sur les points suivants RSA ID Plus que vous pouvez utiliser pour détecter des schémas suspects, limiter les approbations push lorsque le risque est élevé, et renforcer vos défenses contre les bombardements d'invite MFA.

Qu'est-ce que l'AMF ?

Le bombardement rapide de l'AMF, également appelé bombardement par poussée ou bombardement de la Attaque de fatigue de l'AMF, L'abus de confiance, c'est lorsqu'un attaquant déclenche de manière répétée des demandes d'approbation MFA sur l'appareil d'un utilisateur. L'objectif est de submerger l'utilisateur jusqu'à ce qu'il approuve une demande, souvent après que l'attaquant a déjà obtenu le mot de passe de l'utilisateur.

Cela fonctionne parce que le système "push-based" (basé sur la poussée) l'authentification multifactorielle repose sur le fait que l'utilisateur refuse les invites suspectes sur le moment. Les facteurs qui nécessitent une saisie délibérée de la part de l'utilisateur, comme la saisie d'un code d'accès à usage unique ou l'utilisation d'un authentificateur résistant à l'hameçonnage, sont généralement moins sensibles, car un pirate ne peut pas se contenter de spammer les approbations.

Comment fonctionne le bombardement d'invite de l'AMF ?

Les attaques de type MFA prompt bombing, push bombing et MFA fatigue commencent généralement après qu'un attaquant a obtenu un nom d'utilisateur et un mot de passe valides. L'attaquant tente de se connecter et déclenche à plusieurs reprises des demandes de MFA basées sur le push vers l'appareil enregistré de l'utilisateur. Chaque requête demande à l'utilisateur d'approuver ou de refuser la tentative de connexion.

L'authentification push étant conçue pour être pratique, les utilisateurs peuvent approuver l'accès d'une simple pression. Si un nombre suffisant d'invites sont envoyées successivement, un utilisateur distrait ou fatigué peut finir par approuver une demande, ce qui permet à l'attaquant de terminer le processus d'authentification.

L'authentification par poussée fonctionne bien dans les scénarios légitimes car elle élimine la nécessité d'un authentificateur physique et réduit les frictions par rapport aux jetons matériels ou aux codes de passe à usage unique saisis manuellement. Cependant, ce modèle d'approbation ou de refus repose sur l'utilisateur pour reconnaître et rejeter les tentatives suspectes, ce qui crée une opportunité pour les attaques à la bombe.

Types d'attaques à la bombe déclenchées par l'AMF

Bien que la plupart des attaques par bombardement de l'AMF ciblent les notifications push, il existe des variantes que les équipes de sécurité doivent comprendre :

  • Push Bombing (Fatigue classique de l'AMF) : Des notifications push répétées sont envoyées jusqu'à ce que l'utilisateur approuve une demande.
  • Attaques hybrides d'ingénierie sociale : Après avoir lancé le push bombing, l'attaquant contacte l'utilisateur en se faisant passer pour le service d'assistance informatique et lui demande d'approuver la demande. 
  • Tentatives d'inondation de l'OTP : Dans certains cas, les attaquants déclenchent à plusieurs reprises des codes de passe à usage unique par le biais de SMS ou d'autres canaux de distribution, en essayant de confondre l'utilisateur ou de combiner cette tactique avec l'hameçonnage.

La compréhension de ces variations aide les organisations à concevoir des défenses à plusieurs niveaux plutôt que de s'en remettre à la seule vigilance des utilisateurs.

Pourquoi le bombardement éclair fonctionne-t-il ?

Les attaques par bombardement rapide réussissent parce qu'elles ciblent le comportement humain autant que la technologie. Lorsque les utilisateurs reçoivent des invites d'authentification, des appels téléphoniques ou des messages répétés, les attaquants cherchent à créer de la confusion, de l'urgence et un comportement d'approbation routinier. C'est pourquoi la défense contre la lassitude du MFA commence par donner aux utilisateurs des attentes claires, des chemins de rapport simples et des moyens fiables de vérifier les demandes suspectes.

Les utilisateurs ont besoin d'une formation continue pour rester sensibilisés

Les utilisateurs doivent savoir que toute demande d'authentification dont ils ne sont pas à l'origine doit être considérée comme suspecte. Une formation annuelle de sensibilisation à la sécurité peut contribuer à la mise en conformité, mais elle prépare rarement à la mise en place d'un système d'authentification. les utilisateurs à des tentatives d'ingénierie sociale qui évoluent rapidement. Des conseils brefs et répétés sont plus efficaces parce qu'ils renforcent l'idée d'un comportement suspect dans des situations réelles.

Les utilisateurs ont besoin d'un moyen clair de répondre 

Lorsque les utilisateurs reçoivent une notification push inattendue ou un message de suivi, ils doivent savoir exactement ce qu'ils doivent faire. Cela signifie qu'il faut fournir un moyen simple et bien connu de signaler le problème et de contacter le service d'assistance ou l'équipe de sécurité. Plus ce processus est facile, plus les utilisateurs sont susceptibles d'agir rapidement.

La vérification réduit le risque d'ingénierie sociale

Les attaquants combinent souvent les bombardements push avec des appels, des textes, des courriels ou des messages de chat pour pousser les utilisateurs à approuver une demande. Les entreprises doivent définir la manière dont les équipes d'assistance contactent légitimement les utilisateurs et donner aux employés une méthode fiable pour vérifier les communications avant d'agir.

Questions à poser

Les équipes de sécurité doivent se poser les questions suivantes pour se défendre contre les attaques à la bombe de l'AMF :

  • Les utilisateurs savent-ils comment répondre à une requête push inattendue ?
  • Les utilisateurs peuvent-ils signaler rapidement un événement d'authentification suspect ?
  • Les employés savent-ils comment contacter le service d'assistance ou l'équipe de sécurité ?
  • Les utilisateurs comprennent-ils la manière dont le soutien légitime doit être assuré ?
  • Existe-t-il une procédure claire pour vérifier si un message, un appel ou une invite est réel ?
Comment détecter les attaques par bombardement de l'AMF

Dans les scénarios de bombardement d'invite, les attaquants génèrent des approbations push répétées dans un court laps de temps. Les utilisateurs refusent ou ignorent souvent les premières invites, mais une seule approbation accidentelle peut achever la connexion. C'est pourquoi la détection basée sur des modèles est essentielle.

Recherchez des indicateurs tels que

  • Refus répétés de pousser ou délais d'attente pour le même utilisateur dans un court laps de temps
  • Invitations multiples à l'AMF en succession rapide, surtout en dehors d'un comportement normal d'ouverture de session
  • Tentatives de connexion à partir d'appareils, d'adresses IP ou de lieux inconnus liés au même compte
  • Un pic d'activité "push" chez plusieurs utilisateurs, ce qui peut être le signe d'une campagne plus large

Un seul refus n'est pas le signe d'une attaque. Des refus multiples ou des délais d'attente groupés, en particulier lorsqu'ils sont associés à d'autres signaux de risque, doivent déclencher une enquête.

Détection d'un bombardement rapide dans le RSA ID Plus

Chaque événement d'authentification dans RSA ID Plus est enregistré avec des données d'événement détaillées qui peuvent être utilisées pour identifier des modèles de bombardements rapides. Les équipes de sécurité doivent surveiller les occurrences répétées ou anormales d'événements tels que :

  • 702 - L'authentification de l'approbation a échoué : La réponse de l'utilisateur a dépassé le temps imparti
  • 703 - L'authentification de l'approbation a échoué : L'approbation de l'utilisateur a été refusée
  • 802 - L'authentification biométrique du dispositif a échoué : Timed out
  • 803 - Échec de l'authentification biométrique du dispositif

Lorsque ces événements se succèdent pour le même utilisateur, ils peuvent indiquer une tentative active de bombardement MFA. L'association de ces modèles de journaux avec des signaux d'appareil, de localisation et de confiance améliore la précision et aide les équipes à réagir avant qu'une approbation réussie ne se produise.

Comment se défendre contre les attaques par bombardement de l'AMF ?

Pour une défense efficace, il ne suffit pas de dire aux utilisateurs de ne pas approuver les invites inconnues. Les organisations doivent combiner l'éducation des utilisateurs, des options de facteur plus fortes et la surveillance pour réduire les possibilités d'abus.

L'AMF basée sur la pression est vulnérable parce qu'elle dépend de la bonne décision de l'utilisateur sur le moment. Les facteurs qui nécessitent une action délibérée de la part de l'utilisateur, tels que les codes de passe à usage unique ou les authentificateurs résistants au phishing, sont généralement moins susceptibles de faire l'objet de demandes d'approbation répétées.

Les principales mesures de défense sont les suivantes

  • Apprenez aux utilisateurs à refuser les invites inattendues, à les signaler immédiatement et à réinitialiser les informations d'identification le cas échéant.
  • Préférer des facteurs plus forts pour les applications, les utilisateurs et les scénarios d'accès les plus risqués.
  • Surveillez les refus répétés ou les messages intempestifs et alertez en cas de tendances suspectes.
  • Sécuriser l'inscription et la récupération MFA afin que les attaquants ne puissent pas enregistrer un nouvel appareil après avoir obtenu l'accès.
  • Notifier les utilisateurs lorsque des authentificateurs sont ajoutés, supprimés ou modifiés.
  • Examinez les signes de compromission des informations d'identification et vérifiez si les politiques d'AMF autorisent trop d'accès avec une vérification limitée.

Lorsque ces contrôles fonctionnent ensemble, les organisations limitent leur exposition aux attaques à la bombe. 

Comment RSA ID Plus aide à se défendre contre le bombardement de l'invite MFA

A l'intérieur RSA ID Plus, Les méthodes d'authentification sont associées à des niveaux d'assurance et les administrateurs peuvent créer des politiques qui déterminent le niveau d'assurance requis en fonction du contexte. Lorsque le risque est élevé, les politiques peuvent exiger des méthodes d'authentification plus strictes au lieu d'autoriser l'approbation push.

RSA ID Plus soutient également une approche plus dynamique grâce à Identité Confiance. Le moteur de confiance évalue les tentatives d'authentification en temps réel et renvoie un score de confiance élevé ou faible. Ce signal peut être utilisé dans les décisions politiques pour autoriser les approbations push lorsque la confiance est élevée et exiger une authentification progressive lorsque la confiance est faible.

Pour les utilisateurs signalés comme présentant un risque élevé, la liste des utilisateurs à haut risque permet des contrôles plus stricts. Les outils de sécurité peuvent marquer un utilisateur comme présentant un risque élevé sur la base d'alertes ou d'activités suspectes, et les politiques peuvent alors refuser l'accès ou exiger des facteurs d'assurance plus élevés pour réduire l'exposition aux tactiques de fatigue de l'AMF.

FAQ sur l'attentat à la bombe de l'AMF
Que dois-je faire si j'ai été victime d'un attentat à la bombe ?

Si vous avez approuvé une requête MFA que vous n'avez pas initiée, considérez-la comme une compromission potentielle de votre compte. Signalez immédiatement l'incident à votre équipe de sécurité, puis changez votre mot de passe et examinez les activités de connexion récentes pour repérer les sessions ou les appareils suspects. Votre équipe de sécurité doit également révoquer les sessions actives, confirmer qu'aucun nouvel authentificateur n'a été enregistré et exiger une authentification progressive avant de restaurer l'accès.

Qu'est-ce que l'AMF ?

Le MFA prompt bombing, également appelé push bombing ou attaque de fatigue MFA, se produit lorsqu'un attaquant déclenche de manière répétée des demandes d'approbation MFA sur l'appareil d'un utilisateur. L'objectif est de submerger l'utilisateur jusqu'à ce qu'il approuve une demande, souvent après que l'attaquant a obtenu le mot de passe de l'utilisateur.

Que faire si l'on vous envoie un message d'encouragement à l'obtention d'un diplôme d'études approfondies que vous n'avez pas demandé ?

Ne l'approuvez pas. Refusez la demande si vous en avez la possibilité et signalez-la à votre équipe de sécurité dès que possible. Si vous recevez des invites répétées, arrêtez-vous et vérifiez si quelqu'un tente de se connecter à votre compte. Par précaution, réinitialisez votre mot de passe et suivez les conseils de votre organisation pour valider la sécurité de l'appareil et du compte.

Comment les équipes de sécurité peuvent-elles détecter les attaques à la bombe déclenchées par l'AMF ?

La détection est généralement basée sur des modèles. Recherchez des refus répétés de push ou des dépassements de délai pour le même utilisateur sur une courte période, des rafales d'invites MFA en dehors du comportement normal de connexion, ou des tentatives de connexion à partir d'appareils ou d'emplacements inconnus. Ces schémas sont des signaux plus forts lorsqu'ils sont mis en corrélation avec d'autres indicateurs de risque.

Comment arrêter les attaques à la bombe de l'AMF ?

Réduire la dépendance à l'égard des seules approbations des utilisateurs. Utilisez des politiques qui limitent les cas où l'authentification par poussée est autorisée, exigez une authentification par étape lorsque le risque est élevé et surveillez les demandes répétées refusées ou expirées dans le temps. Il est également important de sécuriser l'enrôlement et la récupération des données MFA afin que les attaquants ne puissent pas enregistrer un nouvel appareil après avoir obtenu un accès.

L'AFM basée sur le push est-elle encore sûre ?

L'authentification par poussée peut être efficace, mais elle est plus sensible aux tactiques basées sur la fatigue car elle dépend de la rapidité avec laquelle l'utilisateur prend la bonne décision. Les entreprises peuvent réduire les risques en combinant le push avec des contrôles basés sur les risques, des options d'authentification plus fortes pour les accès à haut risque, et en alertant sur les modèles anormaux d'invite.

Les codes à usage unique sont-ils plus sûrs que les notifications push ?

Les codes de passe à usage unique sont généralement moins susceptibles de faire l'objet d'un bombardement rapide, car l'attaquant ne peut pas spammer les approbations. Cependant, les méthodes OTP peuvent toujours être ciblées par le biais de l'hameçonnage ou de l'interception en fonction de la méthode de livraison. De nombreuses organisations utilisent les OTP et les authentificateurs résistants au phishing comme options d'appoint lorsque le risque est élevé.

Les attaquants peuvent-ils enrôler un nouveau dispositif MFA après un bombardement réussi ?

Oui, il s'agit d'une étape suivante courante. Après avoir obtenu l'accès, les attaquants peuvent tenter d'enregistrer un nouvel authentificateur pour maintenir la persistance. Les défenses comprennent la sécurisation des flux de travail d'inscription, l'exigence d'une assurance plus élevée pour les changements d'appareils et la notification des utilisateurs lorsque des authentificateurs sont ajoutés ou supprimés.

Vous pourriez également être intéressé par...

Demander une démonstration

Obtenir une démonstration