La MFA seule ne suffit pas : protégez mots de passe et connexion 

Un système qui n’est sécurisé que par un nom d’utilisateur et un mot de passe s’expose à des risques. Les recherches menées par Microsoft estiment que plus de 99 % des attaques par prise de contrôle de compte peuvent être empêchées si l’utilisateur final a activé l’authentification multifactorielle (MFA). La MFA est recommandée par la plupart des experts en cybersécurité et des organismes de réglementation tels que le NIST, et elle ne présente aucun inconvénient réel, hormis une légère contrainte pour l’utilisateur (à condition que le choix de la MFA soit judicieux).

Cependant, la protection multicouche est essentielle en matière de cybersécurité. Si vous vous fiez uniquement à la MFA et que vous oubliez la sécurité des mots de passe, vous serez vulnérable.

Devez-vous toujours activer la MFA ?

Bien sûr ! Nous vous recommandons de toujours protéger les connexions Windows, VPN et RDP avec une solution MFA fiable comme Specops Secure Access. Il est important de ne pas mettre tous vos œufs dans le même panier, mais cela n’enlève rien aux nombreux avantages de l’ajout de la MFA aux processus de connexion de votre organisation :

1. Niveau de sécurité supplémentaire : la MFA ajoute un niveau de sécurité supplémentaire en exigeant des utilisateurs qu’ils mettent en place plusieurs formes de vérification. Il est ainsi beaucoup plus difficile pour les personnes non autorisées d’accéder au système, même si elles disposent du mot de passe de l’utilisateur. En rendant l’accès non autorisé plus difficile pour les hackers, la MFA peut réduire de manière significative le risque de violation de données ;
2. Protection contre l’hameçonnage : la MFA peut contribuer à réduire le risque d’attaques par hameçonnage. Même si un hacker parvient à tromper un utilisateur en lui révélant son mot de passe, il aura toujours besoin du deuxième facteur d’authentification pour avoir accès au système.
3. Conformité : de nombreux secteurs ont des réglementations strictes et des exigences de conformité en matière de sécurité des données. La mise en œuvre de la MFA peut aider les organisations à respecter ces normes et à éviter d’éventuelles amendes ou problèmes juridiques.
4. Amélioration de la confiance des utilisateurs : sachant que leurs données et leurs comptes sont mieux protégés, les utilisateurs ont davantage confiance en l’organisation. Ceci est particulièrement important pour les applications en contact avec les clients.
5. Réduction des coûts : bien que la mise en œuvre de la MFA puisse entraîner certains coûts initiaux, les économies à long terme réalisées grâce à la prévention des failles de sécurité et des coûts associés (tels que les frais de justice, les notifications aux clients et l’atteinte à la réputation) peuvent être considérables.
6. Flexibilité et facilité d’utilisation : les solutions MFA modernes sont conçues pour être conviviales et utilisent souvent des méthodes telles que les notifications push, les codes SMS ou la vérification biométrique. Vous pouvez également mettre en place des jetons matériels faciles à utiliser lorsque les téléphones portables ne sont pas disponibles. Ainsi, la sécurité ne se fait pas au détriment de la convivialité.

Envisagez de mettre en place la MFA si vous ne l’avez pas encore fait

Si vous n’avez pas encore adopté la MFA, posez-vous les questions suivantes et envisagez les pires scénarios possibles :

• Avez-vous des systèmes auxquels il est possible d’accéder avec un simple mot de passe ?
• À quelles données un individu pourrait-il avoir accès en volant l’ordinateur portable d’un de vos utilisateurs finaux dont la connexion ne nécessite qu’un code PIN ou un mot de passe ?
• Quelles sont les données stockées localement sur vos postes de travail/ordinateurs portables/serveurs, par exemple les fichiers et e-mails mis en cache, les jetons MFA ?

Vous souhaitez ajouter un système MFA efficace à vos authentifications Windows, RDP, RADIUS et VPN, contactez-nous dès aujourd’hui et essayez Specops Secure Access.

Pourquoi la MFA ne doit pas être la seule ligne de défense ?

Bien que la MFA soit une mesure de sécurité puissante, il est conseillé de ne pas négliger les mots de passe et de s’appuyer uniquement sur un facteur sans mot de passe comme le code PIN ou un facteur biométrique. Voici pourquoi :

1. Sécurité multicouche : la sécurité est plus efficace lorsqu’elle comporte plusieurs couches, car une seule couche faible (comme un mot de passe faible et facile à deviner) peut affaiblir le reste. Les mots de passe et la MFA fonctionnent ensemble pour fournir une défense solide. Si l’une des couches est défaillante, l’autre peut toujours assurer la protection.
2. Accès initial : les mots de passe sont généralement la première ligne de défense. Ils sont nécessaires pour lancer le processus MFA. Sans un mot de passe fort, un hacker peut contourner l’étape de connexion initiale plus facilement et n’avoir qu’à réfléchir à la MFA.
3. Sensibilisation des utilisateurs : les utilisateurs doivent être sensibilisés à l’importance des mots de passe forts et d’une bonne pratique des mots de passe. S’appuyer uniquement sur la MFA peut entraîner une certaine complaisance, les utilisateurs risquant d’utiliser des mots de passe faibles ou faciles à deviner.
4. Sauvegarde et récupération : quelle est la procédure de récupération que vous avez mise en place en cas de perte de la MFA ? Si la MFA échoue (par exemple, si un utilisateur perd son téléphone ou si le dispositif de MFA est compromis), le fait de disposer d’un mot de passe fort peut servir de sauvegarde pour rétablir l’accès au compte.
5. Vulnérabilités de la MFA : la MFA n’est pas infaillible. Il existe des vulnérabilités connues, telles que les attaques par échange de cartes SIM pour la MFA par SMS, ou les attaques d’ingénierie sociale qui peuvent inciter les utilisateurs à approuver les demandes de MFA.

Votre 2FA/MFA pourrait-il être compromis ?

Il y a plusieurs façons d’enfreindre le MFA, nous examinerons ici les plus courantes.

Attaques de fatigue MFA

Les attaques de fatigue MFA (également connues sous le nom MFA prompt bombing) se produisent lorsque des hackers submergent un utilisateur de multiples invites MFA, l’amenant à approuver une demande de connexion par frustration ou pour mettre fin au bombardement. Ces attaques exploitent le désir de l’utilisateur d’arrêter les notifications constantes, même si cela signifie compromettre son compte.

L’ingénierie sociale au sein du helpdesk

L’ingénierie sociale dans les helpdesks peut exploiter la MFA en incitant le personnel d’assistance à contourner les exigences de la MFA ou à réinitialiser les informations d’identification de l’utilisateur. Les hackers utilisent souvent le pretexting, qui consiste à se faire passer pour un utilisateur légitime en difficulté, afin d’obtenir un accès non autorisé. C’est ce qui s’est produit lors d’une récente attaque contre MGM Resorts.

Ingénierie sociale de l’utilisateur final

Les hackers peuvent exploiter la MFA en incitant les utilisateurs à révéler leurs codes MFA ou en utilisant des techniques d’hameçonnage pour intercepter les codes. Une fois que le hacker possède le code MFA, il peut l’utiliser pour obtenir un accès non autorisé au compte de l’utilisateur.

Détournement de session

Ces attaques exploitent des vulnérabilités dans la gestion des sessions Web pour accéder à la session active d’un site Web ou d’une application d’un utilisateur légitime et se faire passer pour lui. L’attaquant intercepte ou devine l’identifiant de la session (un jeton unique attribué à un utilisateur lors de la connexion) et prend l’identité de l’utilisateur dans le système. 

Exploitation de l’authentification unique

Les attaquants peuvent contourner la MFA en exploitant les systèmes d’authentification unique (SSO), où l’accès à un compte permet d’accéder à plusieurs services. Ils peuvent utiliser des techniques telles que le vol de cookies ou le détournement de session pour contourner les exigences du MFA.

Ciblage des méthodes d’authentification de secours

Les attaquants peuvent exploiter la MFA en ciblant des méthodes d’authentification de secours plus faibles, telles que les questions de sécurité ou les codes de récupération, qui sont souvent moins sûres. Ces méthodes leur permettent de contourner les mécanismes primaires de MFA. Le mot de passe est parfois la solution de secours en cas d’échec de la MFA, il est donc toujours important d’avoir une bonne politique de mot de passe et de rechercher des solutions de MFA qui offrent une certaine flexibilité.

Protégez le mot de passe et la connexion

En résumé, si la MFA est un élément essentiel d’une stratégie de sécurité solide, elle doit être utilisée en association avec des mots de passe forts et d’autres pratiques de sécurité pour assurer une protection complète.

La sécurité d’un mot de passe fort et la protection MFA pour le processus de connexion sont cruciales dans la mesure où elles fournissent plusieurs couches de défense contre les accès non autorisés. Avec un mot de passe fort, il est plus difficile pour les hackers de le deviner ou de le craquer, tandis que la MFA ajoute une étape de vérification supplémentaire, ce qui réduit considérablement le risque de compromission du compte, même en cas de vol du mot de passe. Ensemble, ils offrent une protection solide contre un large éventail de cybermenaces.

L’utilisation de Specops Password Policy en parallèle de la MFA vous permet de bloquer en permanence plus de 4 milliards de mots de passe uniques compromis dans votre Active Directory. Les administrateurs peuvent empêcher les utilisateurs finaux de créer des mots de passe faibles et rechercher en permanence les mots de passe compromis suite à des violations de données ou à la réutilisation de mots de passe. Vous souhaitez voir comment cette solution peut être combinée avec Specops Secure Access MFA pour protéger à la fois vos mots de passe et vos identifiants ? Contactez-nous pour un essai.