Depuis longtemps maintenant, l’authentification multifacteur (MFA) est considérée comme la méthode la plus efficace pour les organisations de réduire le risque en cas de piratage de mot de passe.
Lorsqu’elle est correctement implémentée, la MFA oppose aux attaquants un obstacle gênant ou un mur infranchissable, selon le cas. Avec la MFA, on pourrait croire que la plupart des vulnérabilités connues liées à la sécurité des mots de passe s’évaporent.
La réalité est plus nuancée. La MFA se décline en une série de technologies bien distinctes. Même si elles sont basées sur le même principe, leur niveau de sécurité et leur facilité d’utilisation varient d’une solution à l’autre. Dans tous les cas, n’importe quelle méthode de MFA est préférable à l’absence totale de MFA. Pour autant, cela ne veut pas dire que toutes les solutions offrent le même niveau de sécurité en conditions réelles.
Les cybercriminels cherchent en permanence de nouveaux moyens de défaire la MFA, et ils y parviennent de plus en plus souvent. Par exemple, l’envoi de mots de passe à usage unique (OTP) par SMS n’est plus considéré comme une méthode fiable et sécurisée, et même certaines applications d’authentification sur smartphone se sont avérées vulnérables dans certaines circonstances.
Récemment, des acteurs malveillants ont commencé à s’en prendre à une autre technologie de MFA populaire : les notifications push.
Anatomie d’une attaque d’accoutumance à la MFA
En pratique, les solutions push demandent à l’utilisateur de confirmer l’authenticité d’une tentative de connexion en envoyant une notification unique sur son smartphone. Il lui suffit de répondre par oui ou par non. Le principe est simple : si la tentative d’accès est malveillante, l’utilisateur véritable refuse la demande de connexion.
Malheureusement, les attaquants ont compris la faiblesse de ce système. Après s’être connecté à l’aide d’identifiants volés, il leur suffit pour contourner la MFA de convaincre l’utilisateur véritable d’appuyer sur « oui ». Concrètement, la plupart des utilisateurs restent suspects et refusent les demandes non sollicitées. Néanmoins, une minuscule proportion d’entre eux, peut-être 1 % selon Microsoft (en anglais), approuvera la notification la première fois. Une proportion légèrement plus élevée se contente d’ignorer la notification. Dans ce cas, les attaquants relancent de nouvelles tentatives sans relâche et bombardent l’utilisateur de notifications, dans l’espoir qu’une d’entre elles sera acceptée sans y prêter attention.
Cette technique, nommée accoutumance à la MFA, est observée depuis 2021 dans un nombre croissant d’incidents touchant des entreprises comme Uber, Cisco ou les utilisateurs de Microsoft 365 (tous en anglais). Par ailleurs, les attaquants ont également affiné le mode opératoire de l’ingénierie sociale au cœur des attaques d’accoutumance à la MFA. Par exemple, certains se font passer pour un service d’assistance informatique et téléphonent aux utilisateurs ciblés pour les convaincre d’accepter une notification push.
Peut-on stopper les attaques de la « fatigue MFA » ?
Lorsqu’on examine ces incidents de plus près, on constate que la vulnérabilité exploitée n’est pas le recours aux notifications push, mais plutôt leur implémentation. Ces problèmes peuvent être atténués de différentes façons :
- Limiter la fréquence des notifications push pouvant être envoyées : Cette mesure est simple à mettre en œuvre et efficace. Néanmoins, elle n’empêche pas que l’attaquant ait recours à l’ingénierie sociale pour tromper sa cible, par exemple en lui téléphonant.
- Utiliser la correspondance de numéros : Cette méthode envoie une requête au smartphone désigné par l’utilisateur en lui demandant de saisir un code affiché sur l’écran de connexioL’attaquant voit ce numéro, mais pas l’utilisateur authentique (qui n’est pas à l’origine de la tentative de connexion). Microsoft, notamment, déploie actuellement cette fonctionnalité dans son application d’authentification.
- Ajouter des informations contextuelles à la notification push : L’ajout d’informations complémentaires, comme l’emplacement géographique, le type de machine et l’heure de connexion, facilite la détection des tentatives de connexions indésirables.
- Utiliser différentes méthodes de MFA pour différents types d’utilisateurs : Par exemple, il est possible de choisir des jetons physiques pour les utilisateurs privilégiés, tandis que les utilisateurs standard conservent les notifications push.
- Former les utilisateurs : Bien entendu, il reste vital de bien former les utilisateurs pour les aider à identifier les attaques d’accoutumance à la MFA. Ils doivent faire preuve de méfiance lorsqu’ils sont confrontés à des demandes d’authentification répétées. Oui, c’est vraiment un conseil de base (nous sommes au courant !) Toutefois, un facteur décisif de la réussite des attaques d’accoutumance à la MFA réside dans le fait que beaucoup d’utilisateurs ignorent leur existence.
- Enquêter sur les notifications push refusées : Donnez aux utilisateurs un moyen de signaler les demandes indésirables (les notifications push refusées pourraient constituer une preuve de vol d’identifiants).
Comme avec n’importe quelle forme de MFA, l’authentification par notification push cherche toujours à trouver le bon équilibre entre sécurité et facilité d’utilisation.
Où se trouve le point d’équilibre ?
Si vous ajoutez trop de contrôles pour éviter tout abus des notifications push, vous risquez de créer un surplus de travail pour l’utilisateur. Après tout, on utilise généralement les notifications push parce qu’elles constituent une méthode de MFA moins gênante.
Alors, où se trouve le point d’équilibre ?
La réponse est certainement propre à chaque entreprise. Lorsqu’elles décident de proposer les notifications push à leurs utilisateurs, les équipes IT doivent tenir compte du type d’utilisateur (sur site ou hors site, par exemple) et de plusieurs autres paramètres. Par exemple, elles peuvent décider que les utilisateurs administrateur utiliseront des jetons physiques de type YubiKey ou Token2, tout en déployant la MFA par notification push pour les utilisateurs standard.
Sécuriser les notifications push avec UserLock
Comme le montre la liste des mesures d’atténuation, les notifications push permettent une authentification sûre et facile d’accès du moment que leurs vulnérabilités inhérentes sont soigneusement gérées.
Pour encore plus de sécurité, certaines applications push comme celle proposée par UserLock vont plus loin, en indiquant d’autres informations :
- Emplacement géographique de la demande d’authentification
- Équipement d’origine de la demande
- Heure de la demande
Ainsi, les utilisateurs sont mieux équipés pour détecter une fausse demande. Si un utilisateur refuse une notification push qu’il estime frauduleuse, il est immédiatement invité à modifier son mot de passe et à contacter un administrateur réseau.
L’application UserLock Push offre une authentification 2FA par notification push pour gérer les accès des identités Active Directory sur de nombreux types de connexions, y compris RDP, RD Gateway, RDWeb, VPN, IIS et SaaS.