Tout le génie des attaques par phishing, c’est de pouvoir s’en prendre à pratiquement n’importe quoi. La plupart des attaques par phishing visent à dérober les identifiants d’un utilisateur (son nom d’utilisateur et son mot de passe), ce qui n’est pas très difficile, comme on le sait bien dans le monde de la cybersécurité.
Depuis des années maintenant, nous savons que la seule protection contre ce phénomène consiste à associer les mots de passe (premier facteur d’authentification) à une couche de contrôle supplémentaire (un second facteur), ce que l’on nomme authentification à deux facteurs (2FA) ou authentification multifacteur (MFA). En théorie, toutes les méthodes de MFA permettent de résister au phishing et sont censées stopper toutes les attaques de ce type.
Malheureusement, certains types de MFA sont susceptibles d’être elles-mêmes victimes d’attaques par phishing. Les équipes de défense sont ainsi confrontées à une question primordiale : la MFA constitue-t-elle véritablement un mécanisme de défense viable face au phishing ?
La réponse simple est : oui. Même une MFA imparfaite est préférable à l’absence de MFA, et elle suffira à stopper la plupart des attaques. L’utilisation de la MFA renforce toujours votre posture de sécurité.
Néanmoins, comme l’explique cet article, la MFA peut prendre différentes formes, dont certaines risquent davantage que d’autres d’être contournées par les attaquants. Les défenseurs doivent donc prendre le temps de bien comprendre quels sont les types de MFA qui résistent au phishing et appliquer ces méthodes pour empêcher tout accès non autorisé.
Pourquoi le phishing est-il efficace ?
Il existe plusieurs méthodes pour les attaquants de se frayer un chemin pour pénétrer dans l’entreprise, mais le plus simple et le plus économique consiste encore à envoyer un e-mail de phishing. Le phishing est avant toute chose une histoire de statistiques. Selon le rapport d’enquête sur les violations de données 2022 de Verizon, le nombre d’employés qui cliquent sur les e-mails de phishing n’a pas beaucoup changé au cours de la dernière décennie, et s’est stabilisé à environ 2,9 %.
Ce chiffre peut sembler négligeable. Pourtant, même si le taux de réussite est minuscule et que seule une toute petite fraction des employés voit ses identifiants compromis (et toutes les attaques par phishing n’ont pas pour but de voler des identifiants), les attaquants ont gagné.
Les effets de cette stratégie s’observent partout autour de nous. Le DBIR nous dit que 63 % des failles observées découlaient au moins en partie d’attaques par phishing, ce qui est énorme. À titre d’exemple, cela équivaut à détecter des centaines de failles chaque année dans l’environnement d’une seule entreprise.
Mais pourquoi les entreprises sont-elles si nombreuses à être victimes du phishing, alors que les vulnérabilités liées à ce problème sont connues depuis des années ? Tout simplement parce que les mots de passe (le premier facteur) n’ont jamais été conçus pour être utilisés à l’échelle actuelle. Lorsque des mots de passe sont piratés, il est très difficile de détecter le vol, même lorsque des couches de sécurité importantes sont en place. Les attaquants les plus habiles peuvent également avoir recours à différentes tactiques pour contourner certaines méthodes de MFA (on pense notamment au piratage récent d’Uber qui s’est produite récemment).
Quels sont les facteurs qui font que la MFA est résistante au phishing ou non ?
Comme nous l’avons dit plus tôt, les mots de passe (et les codes PIN) représentent le premier facteur d’authentification : une information connue de l’utilisateur. La MFA ajoute à cela un second facteur : une donnée que l’utilisateur possède, génère ou reçoit. Bien sûr, on pourrait continuer d’empiler les facteurs pour renforcer la sécurité, mais les difficultés pour l’utilisateur ne feraient que nuire à son confort, pour un gain de sécurité négligeable.
Les méthodes de MFA ne sont pas toutes égales
Quel complément de sécurité un second facteur d’authentification apporte-t-il ? La réponse dépend du type de facteur utilisé. Au fil du temps, le nombre de technologies de MFA s’est développé, ce qui entraîne une certaine confusion quant à leurs mérites respectifs.
Quelques exemples :
- Code SMS unique envoyé à un appareil mobile
- Code unique généré par une application mobile
- Notification push envoyée à un appareil mobile
- Jeton physique en possession de l’utilisateur
Récemment, l’authentification « sans mot de passe » connaît un gain de popularité. Cette méthode d’authentification élimine les mots de passe en tant que premier facteur, et s’appuie plutôt sur une combinaison d’autres facteurs, par exemple : un code généré par l’utilisateur, un identifiant numérique sécurisé intégré à un smartphone, ou encore une vérification d’empreinte digitale ou biométrique. À proprement parler, tout le monde n’est pas d’accord pour définir précisément ce qui constitue un mot de passe. De plus, ces méthodes requièrent toujours des informations qui sont stockées quelque part, ce qui peut représenter un risque.
Certaines méthodes de MFA résistent très mal au phishing
Et surtout, certaines des méthodes de MFA présentées ci-dessus peuvent être vulnérables face à un attaquant déterminé, qui peut :
- intercepter les codes SMS ou pirater les comptes mobiles à l’aide d’attaques par échange de carte SIM ;
- voler les codes d’application en utilisant des attaques de type man-in-the-middle ;
- voler ou accéder au jeton physique/smartphone de l’utilisateur.
Soulignons tout de même que le niveau de vulnérabilité n’est pas le même pour toutes ces méthodes. Les méthodes qui utilisent les SMS sont bien connues pour être vulnérables, même face à des attaquants novices, tandis qu’il est bien plus difficile de voler des codes d’application. L’accès physique à un jeton ou à un smartphone requiert bien entendu un heureux concours de circonstances ou une coordination ciblée extrêmement précise.
Méthodes de MFA résistantes au phishing
Clairement, certaines de ces attaques sont plus faciles à mettre en œuvre que d’autres. Par exemple, il est impossible pour un attaquant distant de voler un jeton physique. Toutefois, les vulnérabilités présentées ci-dessus ont sensibilisé le public à la question de la résistance au phishing des méthodes de MFA, qui intéresse particulièrement les entreprises qui cherchent à développer leur sécurité autour du Zero Trust.
La plupart des technologies de MFA sont vulnérables parce que l’utilisateur est impliqué dans le processus d’authentification Les utilisateurs reçoivent souvent un code à saisir pour compléter l’authentification. Cela signifie que des acteurs malveillants peuvent intercepter ce code ou le soutirer à l’utilisateur à l’aide de techniques d’ingénierie sociale.
Même si la formation des utilisateurs pour reconnaître et éviter les attaques par phishing est forcément bénéfique, elle ne suffit pas. Voici deux manières de s’assurer que votre MFA résiste au phishing :
1. Préférez les clés physiques
Les clés physiques s’avèrent particulièrement résistantes aux attaques par phishing. Les clés FIDO offrent des avantages non négligeables pour résister au phishing, car il faudrait que l’attaquant dérobe ou trouve la clé physique pour contourner la MFA. Basées sur la norme d’industrie ouverte FIDO, ces clés résistantes au phishing prennent en charge une grande variété de protocoles d’authentification, y compris OATH, HOTPFIDO U2F, ainsi que les méthodes d’authentification web/clés de sécurité sans mot de passe FIDO2.
Il suffit à l’utilisateur de présenter la clé, par exemple une clé YubiKey ou Token2, via USB ou Bluetooth, puis d’appuyer dessus pour confirmer l’authentification. Prenons les clés YubiKey résistantes au phishing, par exemple : en coulisses, le système d’authentification confirme que la clé cryptographique PKI unique intégrée dans la Yubikey est bien celle avec laquelle il a établi une relation au moment de l’inscription. Aucune autre clé ne peut être utilisée pour cette connexion, ce qui signifie que l’utilisateur possède bien la bonne clé.
2. Réduisez l’accoutumance à la MFA avec les contrôles contextuels basés sur le risque
Bien entendu, les clés physiques ne sont pas forcément idéales pour votre entreprise ou votre groupe. D’autres méthodes d’authentification telles que les applications d’authentification ou les applications de MFA Push peuvent être préférables pour diverses raisons.
Toutefois, les méthodes de MFA qui imposent de recevoir une notification peuvent interrompre les utilisateurs plusieurs fois par jour. Plus les utilisateurs sont gênés par les demandes d’authentification répétées, plus l’entreprise s’expose à une attaque exploitant l’accoutumance à la MFA.
On rencontre ce type d’attaque quand un attaquant a mis la main sur les identifiants valides d’un utilisateur (par phishing ou autre). Il doit alors faire en sorte que l’utilisateur légitime accepte une demande de MFA alors qu’il ne tente pas de se connecter. Le risque augmente quand les utilisateurs reçoivent tellement de demandes d’authentification MFA chaque jour qu’ils ne font plus attention au moment de les accepter, même lorsqu’ils n’essaient pas de se connecter.
Ces approches sont intrinsèquement moins résistantes au phishing que les clés physiques. Toutefois, l’association de ces méthodes de MFA à des contrôles contextuels basés sur le risque minimise le risque de compromission.
Un bon exemple : la capacité de limiter le nombre de notifications push envoyées par des attaques d’accoutumance à la MFA en fonction de l’heure ou de l’emplacement géographique.
Cette granularité permet de déterminer quand et comment appliquer la MFA et diminue le risque qu’un utilisateur soit victime d’une attaque par accoutumance à la MFA.
La MFA UserLock est-elle résistante au phishing ?
L’un des principaux obstacles à l’adoption et à la démocratisation de la MFA est l’impact sur la productivité de ce niveau d’authentification supplémentaire. Les clés physiques sont très utiles dans ce contexte, car les utilisateurs n’ont qu’à toucher la clé pour s’authentifier. Il est toutefois conseillé aux entreprises de concevoir leur système de MFA en diversifiant les méthodes, car chacune présente des avantages selon les utilisateurs et le contexte de risque.
Aucune solution n’est parfaite. C’est pourquoi UserLock donne aux administrateurs IT la flexibilité de choisir entre plusieurs méthodes de MFA, y compris les clés physiques, et de combiner ces méthodes en bénéficiant d’une bénéficiant d’une granularité permettant de déterminer comment, quand et si la MFA doit être demandée ce qui renforce la protection contre le phishing.