Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
MFA prompt bombing : comment ça fonctionne et comment l’arrêter ?
Les informations d’identification des utilisateurs sont des mines d’or pour les attaquants. Des identifiants faibles ou compromis constituent une cible facile pour les attaquants qui cherchent à se connecter à un réseau plutôt que d’y entrer par effraction. La plupart des entreprises ont intégré le fait que l’authentification multifacteur (MFA) devait être exigée pour accéder aux ressources clés de l’entreprise. Par conséquent, les attaquants se sont mis à recourir au « MFA prompt bombing » (ou bombardement rapide MFA) comme contre-attaque efficace face à ce niveau de sécurité supplémentaire.
Qu’est-ce que MFA prompt bombing?
Les pirates savent que le MFA constitue un obstacle important à la compromission d’un compte d’utilisateur. Sans MFA, un simple courriel d’hameçonnage peut suffire à voler les informations d’identification et à rendre possible la progression de l’attaque. La connaissance des informations de connexion n’est pas suffisante en elle-même lorsque la MFA est activé, car elle requiert que l’employé prenne d’autres mesures. Cela implique généralement une action sur un appareil distinct auquel seul l’employé a accès : accepter une notification push sur un autre téléphone, saisir un code à durée de vie limitée à partir d’une application d’authentification ou utiliser l’authentification biométrique.
Dans le cas d’une attaque par bombardement MFA, les cybercriminels envoient un barrage d’invites MFA sur l’appareil mobile de la victime afin de la fatiguer ou de l’ennuyer pour qu’elle authentifie la tentative d’ouverture de session. Si une personne reçoit des centaines de messages à la suite, elle peut décider de s’authentifier simplement pour mettre fin au barrage de notifications intempestives, ce qui explique pourquoi on parle parfois d’ « MFA fatigue attack ». À première vue, le « MFA prompt bombing » peut sembler une méthode d’attaque peu sophistiquée, mais les tactiques simples qui exploitent le comportement humain sont souvent les plus efficaces. Comme le montre l’exemple suivant, MFA fatigue attack a un impact réel sur les gens.
Le piratage d’Uber en 2022
L’année dernière, Uber a été victime d’une grave compromission de ses données après que des attaquants ont réussi à compromettre le compte d’un entrepreneur. L’entreprise pense que le pirate a pu acheter les données de connexion de l’entrepreneur sur le dark web après qu’elles ont été exposées lors d’une précédente fuite de données. Uber a déclaré que l’attaquant, affilié au groupe cybercriminel connu Lapsus$, a bombardé l’entrepreneur de notifications push MFA jusqu’à ce qu’il accepte l’une des demandes. Cela montre à quel point une MFA fatigue attack peut être simple une fois qu’un mot de passe a déjà été compromis.
Comment se protéger contre MFA prompt bombing ?
La MFA ne résiste pas à toute – aucun niveau de sécurité ne peut garantir cela. Elle est cependant utile. Il faut pourtant rester vigilants face aux moyens existants de la contourner. Examinons maintenant quelques moyens dont disposent les entreprises pour se protéger contre MFA prompt bombing :
- Authentification basée sur le risque
- Mise en œuvre des politiques de mots de passe plus efficaces
L’authentification basée sur le risque
Les mécanismes d’authentification basés sur le risque sont un moyen de renforcer la MFA et de réduire le risque d’attaques à son encontre par MFA fatigue attack. Avec l’authentification basée sur le risque, les applications examinent les signaux contenus dans la demande de connexion pour déterminer s’il y a des anomalies. Les anomalies peuvent être des caractéristiques de la session de connexion, comme l’emplacement géographique de la demande, l’heure de la journée ou le nombre de tentatives de connexion à partir de différents emplacements par exemple. Le système de gestion des identités et des accès peut alors avertir l’utilisateur pour qu’il procède à des vérifications supplémentaires ; le compte peut également être purement et simplement désactivé.
Les politiques d’accès conditionnel de Microsoft, que l’on trouve dans Azure Active Directory, sont un excellent exemple d’authentification basée sur le risque. Les politiques d’accès conditionnel utilisent des signaux basés sur le risque pour déterminer si les demandes de connexion sont malveillantes et peuvent alors effectuer des actions spécifiques. Elles peuvent notamment obliger les utilisateurs à modifier leur mot de passe ou verrouiller le compte jusqu’à ce qu’un administrateur effectue des opérations manuelles pour le réactiver.
Si l’authentification basée sur les risques permet d’identifier les demandes de connexion malveillantes et d’y remédier, elle exige que les organisations soient intégrées à Azure Active Directory ou à un autre service permettant d’accéder à l’authentification basée sur les risques.
Des politiques de mots de passe plus efficaces
Lorsqu’un attaquant peut déclencher des invites MFA pour l’utilisateur, cela signifie que le mot de passe a déjà été compromis. Les attaquants peuvent avoir réussi à forcer brutalement les mots de passe des utilisateurs ou même avoir obtenu des mots de passe à partir de listes de mots de passe compromis de comptes précédemment piratés.
La mise en place de politiques de mot de passe plus sûres aide les utilisateurs à créer des mots de passe ou des passphrases uniques qui n’ont pas été piratés ou compromis. Le problème pour de nombreuses entreprises utilisant des environnements traditionnels de services de domaine Active Directory sur site est qu’elles ne disposent pas des outils natifs nécessaires pour créer des politiques de mot de passe modernes et efficaces et pour se protéger contre les mots de passe frauduleux et d’autres types de mots de passe à risque.
En effet, l’Active Directory Domain Services n’offre que des contrôles de base permettant aux organisations de créer des politiques de mot de passe pour les utilisateurs dans leur environnement. Par exemple, comme vous pouvez le voir ci-dessous, les contrôles trouvés dans Active Directory (même à partir de Windows Server 2022) sont minimes :
Les paramètres de la stratégie de mot de passe ne protègent pas les organisations contre les éléments suivants :
- Mots de passe incrémentiels
- Mots de passe basés sur le contexte
- Mots de passe réutilisés
- Utilisateurs multiples avec le même mot de passe
- Mots de passe compromis
Puisque les attaquants peuvent facilement deviner ou craquer les mots de passe qui peuvent correspondre aux paramètres de la politique de mot de passe définis dans les politiques de groupe typiques que l’on trouve dans de nombreuses organisations, c’est souvent la première étape vers le bombardement de l’invite MFA.
Arrêtez « MFA prompt bombing » dès sa première étape avec Specops Password Policy
La meilleure façon de mettre fin à ces attaques est d’empêcher les mots de passe d’être compromis en premier lieu. Specops Password Policy permet aux entreprises de renforcer considérablement la qualité, la force et l’unicité des mots de passe utilisés par l’ensemble des utilisateurs d’une organisation. En outre, elle aide à empêcher les attaquants de franchir la première étape de compromission du mot de passe d’un utilisateur, protégeant ainsi davantage les organisations contre un potentiel « MFA prompt bombing ».
Apprenez-en plus sur Specops Password Policy et inscrivez-vous pour un essai gratuit ici.
Protégez les employés pendant les attaques « MFA prompt bombing » avec Specops uReset
Comme nous l’avons noté ci-dessus, une fois qu’un attaquant est capable de bombarder la MFA d’un utilisateur, cela signifie que le mot de passe du compte de l’utilisateur a déjà été compromis. Par conséquent, le fait d’être victime d’une attaque MFA devrait conduire les utilisateurs à réinitialiser immédiatement leur mot de passe.
Malheureusement, toutes les organisations ne disposent pas d’un moyen facile pour que les utilisateurs réinitialisent leur mot de passe, ce qui signifie que beaucoup finissent par ignorer la nécessité de le faire régulièrement ou par appeler le helpdesk. Ceci est particulièrement vrai dans les situations de travail à distance
Specops uReset peut réduire considérablement la fréquence des appels au helpdesk en offrant des options de réinitialisation de mot de passe pour les utilisateurs à distance et au bureau. Grâce à la MFA offerte par Duo Security, Okta, PingID et une option biométrique, les utilisateurs peuvent réinitialiser leur mot de passe même si l’un des facteurs d’authentification n’est pas disponible (par exemple, si l’utilisateur n’a pas de téléphone portable). Avec uReset, tout cela peut se faire sans l’aide d’un membre du personnel du helpdesk. Les utilisateurs peuvent réinitialiser leur mot de passe par eux-mêmes, où qu’ils soient et à tout moment.
Le « MFA prompt bombing » est plus efficace lorsqu’une seconde authentification peut être donnée via une simple notification push sur un seul appareil mobile. Il s’agit techniquement d’une authentification à deux facteurs (2FA) car une « véritable MFA » nécessiterait au moins un facteur supplémentaire. uReset offre une intégration avec plus de 15 fournisseurs d’identité, y compris des options résistantes à la fatigue comme les jetons hardware Yubikey ou les applications OTP qui n’envoient pas de notifications push.
Protégez votre personnel contre les attaques « MFA prompt bombing » – demandez une démo et essayez Specops uReset gratuitement.
FAQ sur le MFA prompt bombing
Qu’est-ce que le MFA prompt bombing ?
Le MFA prompt bombing est le spam répété de demandes MFA par des attaquants cherchant à amener un utilisateur à accepter accidentellement ou sans le savoir l’une des demandes. Il suffit d’une mauvaise sélection de la part d’un utilisateur pour permettre aux attaquants d’accéder à un compte compromis. Cette nouvelle technique permet aux pirates de contourner le niveau de sécurité supplémentaire que représente l’authentification multifactorielle (MFA).
Qu’est-ce que l’authentification multifacteur ?
L’authentification multifacteur (MFA) exige que l’utilisateur qui se connecte présente plusieurs « facteurs » afin de valider son identité. Par exemple, elle associe généralement un mot de passe à une application OTP (one-time passcode) pour smartphone ou à un message texte pour valider l’identité, ce que l’on appelle l’authentification à deux facteurs (2FA).
Comment les organisations peuvent-elles se protéger contre les attaques MFA prompt bombing ? Une bonne hygiène de sécurité et l’application des bonnes pratiques sont importantes. Les organisations peuvent également mettre en œuvre des solutions telles que l’authentification basée sur le risque, qui examine les signaux de sécurité pour déterminer si une demande de connexion d’un utilisateur est malveillante ou légitime. En outre, en renforçant les politiques de mots de passe, il est beaucoup plus difficile pour un attaquant de passer ce premier facteur d’information (le mot de passe) pour lancer l’attaque MFA prompt bombing.
Jun 22, 2023 (Last updated on July 11, 2023)
(Dernière mise à jour le 11/07/2023)