Le bombardement d’invites MFA est une méthode d’attaque utilisée pour contourner la sécurité de l’authentification multifacteur (MFA). Cette technique fonctionne en inondant les utilisateurs d'invites MFA pour accéder à un système, dans le but de trouver une invite que l'utilisateur accepte.
Le bombardement rapide MFA est une cybermenace émergente que les organisations doivent comprendre et contre laquelle se défendre. Comme authentification multi-facteurs est devenu plus largement adopté pour renforcer la sécurité des comptes, les acteurs malveillants ont développé des techniques pour cibler systématiquement les utilisateurs avec des demandes d'authentification dans le but d'y accéder. Grâce à des invites de connexion répétées, les pirates tentent de semer la confusion ou de frustrer les utilisateurs en les incitant à saisir leurs informations d'identification ou leur approbation sur un site ou une application malveillante.
Cette technique, connue sous le nom de MFA prompt bombing, permet aux attaquants de contourner l’authentification multifacteur et d’accéder aux comptes et données sensibles. Les professionnels de la cybersécurité et les chefs d’entreprise doivent être sensibilisés et informés sur cette menace pour protéger leurs organisations. En comprenant le fonctionnement du bombardement rapide MFA et les stratégies permettant d'atténuer les risques, les entreprises peuvent éviter d'être victimes de ce vecteur d'attaque de plus en plus courant.
L'authentification multifacteur (MFA) est une méthode d'authentification qui nécessite que l'utilisateur fournisse au moins deux facteurs de vérification pour accéder à une ressource telle qu'une application, un compte en ligne ou un VPN. MFA ajoute une couche de sécurité supplémentaire aux connexions et transactions des utilisateurs.
Les méthodes d'authentification traditionnelles reposent sur un seul facteur : généralement un mot de passe. Cependant, les mots de passe peuvent être volés, devinés ou piratés. Grâce à la MFA, les accès non autorisés peuvent être empêchés en exigeant plus qu'un simple mot de passe. Cela peut prendre la forme d’une clé de sécurité, d’un code envoyé à un appareil mobile ou d’une analyse biométrique.
MFA protège contre le phishing, l’ingénierie sociale et les attaques de piratage de mots de passe. Même si un pirate informatique obtenait le mot de passe d'un utilisateur, il aurait toujours besoin du deuxième facteur d'authentification pour y accéder. Cette approche à plusieurs volets réduit considérablement le risque de compromission des comptes.
Il existe plusieurs types d’options MFA :
La MFA doit être mise en œuvre pour tout système ou application contenant des données ou des fonds sensibles afin de contribuer à réduire les risques tels que le piratage de compte et la fraude. Lorsqu'il est correctement configuré, MFA constitue un contrôle efficace qui améliore la sécurité de la connexion et protège des comptes d'utilisateurs ou administrateurs.
Le bombardement d'invites MFA commence lorsqu'un attaquant obtient l'accès au nom d'utilisateur et au mot de passe d'un utilisateur. L'attaquant utilise ensuite l'automatisation pour générer et soumettre un volume élevé de tentatives de connexion au compte de l'utilisateur. Chaque tentative de connexion déclenche une invite MFA, comme un message texte avec un code à usage unique ou une notification d'application d'authentification.
L'attaquant continue de générer des tentatives de connexion à un rythme rapide jusqu'à ce que l'utilisateur accepte une invite MFA, intentionnellement ou accidentellement. Accepter une invite donne à l'attaquant le code d'authentification dont il a besoin pour accéder au compte de l'utilisateur. À ce stade, l’attaquant a contourné MFA et a obtenu un accès complet.
Le bombardement rapide des MFA s’attaque à la psychologie des utilisateurs et à la capacité d’attention humaine limitée. Lorsqu'il est bombardé par un barrage d'invites successives, un utilisateur est plus susceptible d'appuyer ou de saisir un code sans réfléchir afin d'arrêter les invites. Même si l’utilisateur se rend immédiatement compte de l’erreur, l’attaquant dispose déjà de l’accès dont il a besoin.
Pour se défendre contre le bombardement d’invites MFA, les organisations doivent surveiller les volumes inhabituellement élevés d’invites MFA pour un seul compte utilisateur. Le bombardement rapide met également en évidence la nécessité de méthodes d’authentification plus fortes et plus difficiles à contourner, telles que les clés de sécurité FIDO2, l’authentification biométrique et la MFA basée sur les risques. En mettant en œuvre des politiques MFA adaptatives et une surveillance robuste de l’authentification, les entreprises peuvent réduire les risques de bombardement rapide et d’autres techniques de contournement de la MFA.
Les attaques à la bombe par invite MFA ciblent les utilisateurs qui ont accès à des systèmes critiques en tentant de les submerger de demandes d’authentification. Ces attaques par force brute visent à refuser l’accès aux utilisateurs légitimes en les excluant des comptes et des systèmes.
Les cybercriminels utilisent souvent des botnets, des réseaux d'ordinateurs infectés, pour mener des attaques à la bombe MFA. Les robots sont programmés pour tenter à plusieurs reprises de s'authentifier auprès des systèmes cibles à l'aide de listes d'informations d'identification volées ou devinées. En raison du volume élevé de tentatives de connexion, les systèmes MFA cibles verrouillent les comptes pour empêcher tout accès non autorisé. Cependant, cela empêche également les utilisateurs valides d'accéder à leurs comptes.
Une autre tactique courante utilisée dans le bombardement rapide du MFA est bourrage d'informations d'identification. Les pirates obtiennent des listes de noms d’utilisateur et de mots de passe suite à des violations et fuites de données antérieures. Ils insèrent ensuite ces informations d'identification dans la page de connexion du système cible le plus rapidement possible. Les tentatives de connexion infructueuses répétées déclenchent les mécanismes de verrouillage du compte, entraînant un déni de service.
Il existe plusieurs méthodes que les organisations peuvent utiliser pour atténuer la menace de bombardement rapide de MFA :
Le bombardement rapide de MFA menace les organisations en refusant aux utilisateurs l’accès à leurs comptes et systèmes. Cependant, avec la vigilance et des mesures de protection appropriées en place, les risques posés par ce type d’attaques par force brute peuvent être considérablement atténués. Une surveillance continue et une adaptation à l’évolution des menaces sont essentielles.
Pour détecter le bombardement rapide de MFA, les organisations doivent mettre en œuvre les mesures de sécurité suivantes :
La surveillance d'un volume inhabituellement élevé de tentatives de connexion échouées, en particulier sur plusieurs comptes ou sources, peut indiquer une activité de bombardement d'invites MFA. Les cybercriminels sont susceptibles d’essayer différents mots de passe et noms d’utilisateur pour tenter de deviner les informations d’identification correctes. Les organisations doivent définir des seuils pour détecter ces anomalies et recevoir des alertes lorsqu'elles se produisent.
L’examen des invites MFA et des réponses des utilisateurs peut révéler des signes de bombardement d’invites MFA tels que :
L'analyse des journaux de réseau privé virtuel (VPN) et de l'activité du réseau peut également révéler un bombardement rapide de MFA. Les éléments à rechercher incluent :
Les organisations doivent mettre en œuvre des contrôles de sécurité d’identité supplémentaires pour réduire le risque de bombardement rapide de MFA, tels que :
En maintenant leur vigilance et en mettant en œuvre une solide stratégie de sécurité des identités, les organisations peuvent détecter et atténuer la menace d’attentats rapides MFA. Il est essentiel de mettre en œuvre une stratégie de sécurité proactive à l’échelle des personnes, des processus et de la technologie pour lutter contre les attaques à la bombe instantanées MFA.
Pour éviter le bombardement rapide de MFA, les organisations doivent mettre en œuvre l’authentification multifacteur (MFA) sur toutes les ressources et comptes d’utilisateurs accessibles sur Internet. MFA ajoute une couche de sécurité supplémentaire qui nécessite non seulement un mot de passe mais également une autre méthode de vérification comme un code de sécurité envoyé par SMS ou une application d'authentification. Avec MFA activé, les attaquants utilisant des informations d'identification volées ne réussiront pas à accéder à moins qu'ils n'aient également accès au téléphone ou au dispositif d'authentification de l'utilisateur.
Certaines options MFA sont plus susceptibles que d’autres d’être bombardées rapidement. La messagerie texte SMS et les appels vocaux peuvent être compromis, permettant aux attaquants d'intercepter les codes d'authentification. Les jetons matériels et les applications d'authentification offrent un niveau de sécurité plus élevé. Les clés de sécurité, comme YubiKeys, offrent la protection la plus solide et doivent être utilisées par les administrateurs et comptes privilégiés dès que possible.
Les équipes de sécurité doivent surveiller les comptes d'utilisateurs et les demandes d'authentification pour déceler des signes de tentatives d'attentat à la bombe rapides. Des éléments tels qu’un nombre inhabituellement élevé d’invites MFA sur une courte période, des invites MFA provenant d’adresses IP suspectes ou des rapports de SMS ou de messages de phishing vocal prétendant être des codes MFA peuvent tous indiquer un bombardement rapide. Les attaques détectées devraient déclencher une réinitialisation immédiate du mot de passe et un examen de l'activité du compte de l'utilisateur.
Éduquer les utilisateurs sur la MFA et le bombardement rapide permet de réduire les risques. La formation doit couvrir :
Avec les bons contrôles et la formation des utilisateurs en place, les organisations peuvent réduire la menace de bombardement rapide de MFA et renforcer l'hygiène de sécurité globale de leurs utilisateurs. Cependant, comme pour toute défense en matière de cybersécurité, une vigilance continue et des examens réguliers des nouvelles menaces et des techniques d’atténuation sont nécessaires.
Pour éviter les attaques à la bombe rapides, les organisations doivent mettre en œuvre une solution MFA qui utilise des codes d'accès à usage unique (OTP) générés dynamiquement au lieu de messages texte SMS. Ces solutions génèrent un nouvel OTP à chaque fois qu'un utilisateur se connecte, afin que les attaquants ne puissent pas réutiliser les codes pour obtenir un accès non autorisé.
Les jetons matériels, tels que YubiKeys, génèrent des OTP qui changent à chaque connexion. Étant donné que les codes sont générés sur l'appareil, les attaquants ne peuvent pas les intercepter par SMS ou appel vocal. Les jetons matériels offrent un haut niveau de sécurité mais peuvent nécessiter un investissement initial pour acheter les jetons. Ils obligent également les utilisateurs à transporter un appareil physique supplémentaire, ce que certains peuvent trouver gênant.
Applications d'authentification comme Google Authenticator, Azure MFA, Silverfort, et Duo génère des OTP sur le téléphone de l'utilisateur sans recourir aux SMS ou aux appels vocaux. Les OTP changent fréquemment et les applications ne transmettent pas les codes sur un réseau, ils sont donc très difficiles à intercepter ou à réutiliser pour les attaquants. Les applications d'authentification constituent une solution MFA sécurisée, pratique et peu coûteuse pour les organisations à petit budget. Cependant, ils exigent toujours que les utilisateurs disposent d’un appareil capable d’exécuter l’application mobile.
L'authentification biométrique, telle que la numérisation des empreintes digitales, du visage ou de l'iris, offre une solution MFA très résistante aux bombardements rapides et autres cyberattaques. Les utilisateurs non autorisés ont du mal à reproduire les données biométriques car elles sont basées sur les caractéristiques physiques de l'utilisateur. Ils sont également très pratiques pour les utilisateurs puisqu’ils ne nécessitent aucun appareil ou logiciel supplémentaire. Cependant, les systèmes biométriques nécessitent généralement un investissement initial important pour acheter le matériel et les logiciels de numérisation nécessaires. Ils peuvent également soulever des problèmes de confidentialité pour certains.
Solutions MFA qui génèrent des OTP sur l'appareil, tels que des jetons matériels, des applications d'authentification et des données biométriques, offrent la protection la plus solide contre les bombardements rapides et autres attaques automatisées. Les organisations doivent évaluer ces options en fonction de leurs besoins de sécurité, de leur budget et des préférences des utilisateurs. Avec la bonne solution MFA en place, les bombardements rapides peuvent être efficacement atténués.
Si votre organisation a été victime d'une attaque à la bombe rapide MFA, il est important de prendre les mesures suivantes pour atténuer les risques et éviter d'autres dommages :
Travaillez avec votre équipe de sécurité pour déterminer combien de comptes d'utilisateurs ont été ciblés et compromis. Recherchez les connexions non autorisées et examinez les journaux d’activité des comptes pour identifier les comptes auxquels vous avez accédé. Déterminez à quelles données ou ressources les attaquants peuvent également avoir accès. Cette enquête aidera à déterminer la gravité de l'incident et la réponse appropriée.
Pour tout compte compromis, réinitialisez immédiatement les mots de passe et les invites MFA. Générez des mots de passe forts et uniques pour chaque compte et activez MFA à l'aide d'une application d'authentification plutôt que de messages texte SMS. Assurez-vous que les utilisateurs activent MFA sur tous les comptes, pas seulement sur celui qui a été compromis. Les attaquants utilisent souvent l’accès à un compte pour accéder à d’autres.
Passez en revue vos politiques et procédures de sécurité attribuées à chaque utilisateur pour identifier et corriger les failles de sécurité qui ont contribué à l'attaque. Par exemple, vous devrez peut-être appliquer des politiques de mot de passe plus strictes, limiter les tentatives de connexion au compte, restreindre l'accès au compte en fonction de l'emplacement ou de l'adresse IP, ou accroître la surveillance des connexions au compte. L'authentification multifacteur devrait être requise pour tous les comptes, en particulier les comptes administrateur.
Surveillez de près tous les comptes au cours des prochains mois pour déceler tout signe d'accès non autorisé ou de tentatives de piratage de compte. Les attaquants peuvent continuer à cibler les comptes même après la compromission initiale pour maintenir l'accès. Vérifiez continuellement les connexions au compte et les journaux d’activité pour identifier tout comportement anormal le plus tôt possible.
Pour les attaques à plus grande échelle, contactez les forces de l’ordre locales et signalez le cybercrime. Fournissez tous les détails sur l’attaque qui pourraient faciliter une enquête. Les forces de l'ordre peuvent également proposer des recommandations supplémentaires sur la sécurisation de votre réseau et de vos comptes afin de prévenir de futures attaques.
Il est important de prendre des mesures rapides et approfondies en cas d’attaque à la bombe MFA afin de limiter les dégâts, de sécuriser vos systèmes et de minimiser les risques de compromission supplémentaire. Une surveillance et une vigilance constante sont nécessaires pour se protéger contre les attaques ultérieures d'acteurs malveillants à la suite d'une attaque. Grâce à une réponse et une collaboration rapides, les organisations peuvent surmonter les effets néfastes des bombardements rapides de MFA.
