Bombardement rapide MFA

  • De notre équipe d'experts
Démo

Bombardement rapide MFA

  • De notre équipe d'experts
Démo
Voir nos services
Table des Matières

Démonstration

Voir le Silverfort plateforme en action

Découvrez pourquoi les plus grandes entreprises nous font confiance pour sécuriser ce que d’autres ne peuvent pas faire.

Démo

Le bombardement d'invites MFA est une méthode d'attaque utilisée pour contourner la sécurité de l'authentification multifacteur (MFA). Cette technique fonctionne en inondant les utilisateurs de authentification multi-facteur invite à accéder à un système, dans le but de trouver une invite que l'utilisateur accepte.

Le bombardement rapide MFA est une cybermenace émergente que les organisations doivent comprendre et contre laquelle se défendre. Comme authentification multi-facteurs est devenu plus largement adopté pour renforcer la sécurité des comptes, les acteurs malveillants ont développé des techniques pour cibler systématiquement les utilisateurs avec des demandes d'authentification dans le but d'y accéder. Grâce à des invites de connexion répétées, les pirates tentent de semer la confusion ou de frustrer les utilisateurs en les incitant à saisir leurs informations d'identification ou leur approbation sur un site ou une application malveillante.

Cette technique, connue sous le nom de MFA prompt bombing, permet aux attaquants de contourner les attaques multifactorielles. protocoles d'authentification et accéder à des comptes et données sensibles. Les professionnels de la cybersécurité et les dirigeants d'entreprise doivent être sensibilisés et formés à cette menace pour protéger leurs organisations. En comprenant le fonctionnement du prompt bombing MFA et les stratégies pour atténuer les risques, les entreprises peuvent éviter d'être victimes de ce vecteur d'attaque de plus en plus courant.

Un aperçu de l'authentification multifacteur (MFA)

L'authentification multifacteur (MFA) est une méthode d'authentification qui nécessite que l'utilisateur fournisse au moins deux facteurs de vérification pour accéder à une ressource telle qu'une application, un compte en ligne ou un VPN. MFA ajoute une couche de sécurité supplémentaire aux connexions et transactions des utilisateurs.

Les méthodes d'authentification traditionnelles reposent sur un seul facteur : généralement un mot de passe. Cependant, les mots de passe peuvent être volés, devinés ou piratés. Grâce à la MFA, les accès non autorisés peuvent être empêchés en exigeant plus qu'un simple mot de passe. Cela peut prendre la forme d’une clé de sécurité, d’un code envoyé à un appareil mobile ou d’une analyse biométrique.

MFA protège contre le phishing, l’ingénierie sociale et les attaques de piratage de mots de passe. Même si un pirate informatique obtenait le mot de passe d'un utilisateur, il aurait toujours besoin du deuxième facteur d'authentification pour y accéder. Cette approche à plusieurs volets réduit considérablement le risque de compromission des comptes.

Il existe plusieurs types d’options MFA :

  • Messages texte SMS : un code à usage unique est envoyé au téléphone de l'utilisateur par message texte. L'utilisateur saisit ce code pour vérifier son identité.
  • Applications d'authentification : une application comme Google Authenticator ou Authy génère des codes à usage unique que l'utilisateur doit saisir. Cette méthode ne nécessite pas que l'utilisateur dispose d'un service cellulaire ou d'un téléphone compatible SMS.
  • Clés de sécurité : une clé USB physique ou un périphérique Bluetooth doit être inséré ou tapé pour vérifier la connexion. Il s’agit d’une forme très sécurisée de MFA.
  • Biométrie : des technologies telles que la reconnaissance des empreintes digitales, du visage ou de la voix sont utilisées pour authentifier l'identité de l'utilisateur. La biométrie est très pratique mais peut être usurpée dans certains cas.

La MFA doit être mise en œuvre pour tout système ou application contenant des données ou des fonds sensibles afin de contribuer à réduire les risques tels que le piratage de compte et la fraude. Lorsqu'il est correctement configuré, MFA constitue un contrôle efficace qui améliore la sécurité de la connexion et protège des comptes d'utilisateurs ou administrateurs.

Comment fonctionne le bombardement rapide MFA

Le bombardement d'invites MFA commence lorsqu'un attaquant obtient l'accès au nom d'utilisateur et au mot de passe d'un utilisateur. L'attaquant utilise ensuite l'automatisation pour générer et soumettre un volume élevé de tentatives de connexion au compte de l'utilisateur. Chaque tentative de connexion déclenche une invite MFA, comme un message texte avec un code à usage unique ou une notification d'application d'authentification.

L'attaquant continue de générer des tentatives de connexion à un rythme rapide jusqu'à ce que l'utilisateur accepte une invite MFA, intentionnellement ou accidentellement. Accepter une invite donne à l'attaquant le code d'authentification dont il a besoin pour accéder au compte de l'utilisateur. À ce stade, l’attaquant a contourné MFA et a obtenu un accès complet.

Le bombardement rapide des MFA s’attaque à la psychologie des utilisateurs et à la capacité d’attention humaine limitée. Lorsqu'il est bombardé par un barrage d'invites successives, un utilisateur est plus susceptible d'appuyer ou de saisir un code sans réfléchir afin d'arrêter les invites. Même si l’utilisateur se rend immédiatement compte de l’erreur, l’attaquant dispose déjà de l’accès dont il a besoin.

Pour se défendre contre le bombardement d’invites MFA, les organisations doivent surveiller les volumes inhabituellement élevés d’invites MFA pour un seul compte utilisateur. Le bombardement rapide met également en évidence la nécessité de méthodes d’authentification plus fortes et plus difficiles à contourner, telles que les clés de sécurité FIDO2, l’authentification biométrique et la MFA basée sur les risques. En mettant en œuvre MFA adaptatif Grâce à leurs politiques de sécurité et à une surveillance robuste de l'authentification, les entreprises peuvent réduire les risques de bombardement rapide et d'autres techniques de contournement de l'AMF.

Exemples d’attentats à la bombe rapides MFA

Les attaques à la bombe par invite MFA ciblent les utilisateurs qui ont accès à des systèmes critiques en tentant de les submerger de demandes d’authentification. Ces attaques par force brute visent à refuser l’accès aux utilisateurs légitimes en les excluant des comptes et des systèmes.

Botnets automatisés

Les cybercriminels utilisent souvent des botnets, des réseaux d'ordinateurs infectés, pour mener des attaques à la bombe MFA. Les robots sont programmés pour tenter à plusieurs reprises de s'authentifier auprès des systèmes cibles à l'aide de listes d'informations d'identification volées ou devinées. En raison du volume élevé de tentatives de connexion, les systèmes MFA cibles verrouillent les comptes pour empêcher tout accès non autorisé. Cependant, cela empêche également les utilisateurs valides d'accéder à leurs comptes.

Credential Stuffing

Une autre tactique courante utilisée dans le bombardement rapide du MFA est bourrage d'informations d'identification. Les pirates obtiennent des listes de noms d’utilisateur et de mots de passe suite à des violations et fuites de données antérieures. Ils insèrent ensuite ces informations d'identification dans la page de connexion du système cible le plus rapidement possible. Les tentatives de connexion infructueuses répétées déclenchent les mécanismes de verrouillage du compte, entraînant un déni de service.

Techniques d’atténuation pour le bombardement rapide MFA

Il existe plusieurs méthodes que les organisations peuvent utiliser pour atténuer la menace de bombardement rapide de MFA :

  1. Utilisez le l'authentification adaptative: systèmes capables de détecter et de bloquer l’activité automatisée des robots. Ils analysent la vitesse de connexion, la géolocalisation et d’autres facteurs pour déterminer les tentatives d’accès suspectes.
  2. Utilisez la liste blanche IP : limitez l’accès aux seules adresses IP fiables et bloquez toutes les autres. Cela rend difficile pour les pirates informatiques de mener des attaques à partir de leurs propres systèmes.
  3. Augmenter les seuils de verrouillage des comptes : augmenter le nombre de tentatives de connexion infructueuses autorisées avant qu'un compte ne soit verrouillé réduit l'efficacité des attaques par force brute tout en empêchant tout accès non autorisé.
  4. Mettre en œuvre le authentification basée sur les risques: Exiger des facteurs d'authentification supplémentaires pour les connexions à partir d'emplacements/appareils inconnus ou suspects. Cela ajoute une autre couche de sécurité pour les tentatives d'accès à haut risque.
  5. Utilisez reCAPTCHA : le système reCAPTCHA peut détecter et bloquer les robots automatisés. Il présente aux utilisateurs des défis difficiles à résoudre pour les robots afin de vérifier qu'un humain tente d'accéder.

Le bombardement rapide de MFA menace les organisations en refusant aux utilisateurs l’accès à leurs comptes et systèmes. Cependant, avec la vigilance et des mesures de protection appropriées en place, les risques posés par ce type d’attaques par force brute peuvent être considérablement atténués. Une surveillance continue et une adaptation à l’évolution des menaces sont essentielles.

Comment détecter le bombardement d'invites MFA

Pour détecter le bombardement rapide de MFA, les organisations doivent mettre en œuvre les mesures de sécurité suivantes :

Surveiller les tentatives de connexion anormales

La surveillance d'un volume inhabituellement élevé de tentatives de connexion échouées, en particulier sur plusieurs comptes ou sources, peut indiquer une activité de bombardement d'invites MFA. Les cybercriminels sont susceptibles d’essayer différents mots de passe et noms d’utilisateur pour tenter de deviner les informations d’identification correctes. Les organisations doivent définir des seuils pour détecter ces anomalies et recevoir des alertes lorsqu'elles se produisent.

Examiner les invites et les réponses MFA

L’examen des invites MFA et des réponses des utilisateurs peut révéler des signes de bombardement d’invites MFA tels que :

  • Codes d'accès invalides répétés ou approbations de notifications push à partir du même appareil.
  • Plusieurs invites MFA pour différents comptes provenant d’un seul appareil sur une courte période.
  • MFA demande les comptes auxquels l’appareil n’a jamais accédé auparavant.

Inspecter les journaux VPN et réseau

L'analyse des journaux de réseau privé virtuel (VPN) et de l'activité du réseau peut également révéler un bombardement rapide de MFA. Les éléments à rechercher incluent :

  1. Un appareil accédant au VPN depuis un emplacement inhabituel. Les cybercriminels usurpent souvent des emplacements pour masquer leur identité.
  2. Appareil se connectant au réseau à un moment inhabituel où il est peu probable que l'utilisateur légitime se connecte.
  3. Appareil accédant à un nombre élevé de comptes ou de ressources sensibles au sein du réseau sur une courte période. Cela pourrait indiquer que les pirates « pulvérisent et prient » avec des informations d’identification volées.

Déployer des contrôles de sécurité d'identité supplémentaires

Les organisations devraient mettre en œuvre des sécurité d'identité contrôles pour réduire le risque de bombardement rapide du MFA comme :

  • Exiger un deuxième facteur d'authentification pour les accès risqués comme les connexions VPN ou l'accès à des données sensibles. L’utilisation d’une authentification sans mot de passe FIDO2 peut rendre le bombardement d’invites MFA beaucoup plus difficile.
  • Surveillance des tentatives de connexion à partir d'emplacements qui diffèrent du modèle d'accès typique d'un utilisateur. Des emplacements d'accès inhabituels peuvent indiquer une prise de contrôle de compte.
  • Rotation et randomisation des codes d'accès MFA pour garantir que les pirates ne peuvent pas réutiliser les codes volés.
  • Fournir une formation aux utilisateurs sur la détection et le signalement des tentatives de bombardement rapides MFA.

En maintenant leur vigilance et en mettant en œuvre une solide stratégie de sécurité des identités, les organisations peuvent détecter et atténuer la menace d’attentats rapides MFA. Il est essentiel de mettre en œuvre une stratégie de sécurité proactive à l’échelle des personnes, des processus et de la technologie pour lutter contre les attaques à la bombe instantanées MFA. 

Prévenir les bombardements rapides MFA : meilleures pratiques

Mettre en œuvre l'authentification multifacteur

Pour éviter le bombardement rapide de MFA, les organisations doivent mettre en œuvre l’authentification multifacteur (MFA) sur toutes les ressources et comptes d’utilisateurs accessibles sur Internet. MFA ajoute une couche de sécurité supplémentaire qui nécessite non seulement un mot de passe mais également une autre méthode de vérification comme un code de sécurité envoyé par SMS ou une application d'authentification. Avec MFA activé, les attaquants utilisant des informations d'identification volées ne réussiront pas à accéder à moins qu'ils n'aient également accès au téléphone ou au dispositif d'authentification de l'utilisateur.

Utilisez des options MFA résistantes aux bombardements rapides

Certaines options MFA sont plus susceptibles que d’autres d’être bombardées rapidement. La messagerie texte SMS et les appels vocaux peuvent être compromis, permettant aux attaquants d'intercepter les codes d'authentification. Les jetons matériels et les applications d'authentification offrent un niveau de sécurité plus élevé. Les clés de sécurité, comme YubiKeys, offrent la protection la plus solide et doivent être utilisées par les administrateurs et comptes privilégiés dès que possible.

Surveiller les tentatives de bombardement rapides du MFA

Les équipes de sécurité doivent surveiller les comptes d'utilisateurs et les demandes d'authentification pour déceler des signes de tentatives d'attentat à la bombe rapides. Des éléments tels qu’un nombre inhabituellement élevé d’invites MFA sur une courte période, des invites MFA provenant d’adresses IP suspectes ou des rapports de SMS ou de messages de phishing vocal prétendant être des codes MFA peuvent tous indiquer un bombardement rapide. Les attaques détectées devraient déclencher une réinitialisation immédiate du mot de passe et un examen de l'activité du compte de l'utilisateur.

Fournir une éducation et une formation MFA

Éduquer les utilisateurs sur la MFA et le bombardement rapide permet de réduire les risques. La formation doit couvrir :

  • Comment fonctionne MFA et les avantages qu’elle offre en matière de sécurité.
  • Les différentes méthodes MFA disponibles et leur niveau de protection.
  • À quoi ressemble une invite MFA légitime pour chaque méthode utilisée et comment identifier les tentatives de phishing.
  • L’importance de ne jamais partager les codes MFA ou les dispositifs d’authentification avec d’autres.
  • Procédures à suivre si un utilisateur reçoit une invite MFA non sollicitée ou soupçonne que son compte a été compromis.

Avec les bons contrôles et la formation des utilisateurs en place, les organisations peuvent réduire la menace de bombardement rapide de MFA et renforcer l'hygiène de sécurité globale de leurs utilisateurs. Cependant, comme pour toute défense en matière de cybersécurité, une vigilance continue et des examens réguliers des nouvelles menaces et des techniques d’atténuation sont nécessaires.

Choisir une solution MFA résistante aux bombardements rapides

Pour éviter les attaques de bombardement rapides, les organisations doivent mettre en œuvre un Solution MFA qui utilise des codes d'accès à usage unique (OTP) générés dynamiquement au lieu de SMS. Ces solutions génèrent un nouveau OTP à chaque connexion, empêchant ainsi les attaquants de réutiliser les codes pour obtenir un accès non autorisé.

Jetons matériels

Les jetons matériels, tels que YubiKeys, génèrent des OTP qui changent à chaque connexion. Étant donné que les codes sont générés sur l'appareil, les attaquants ne peuvent pas les intercepter par SMS ou appel vocal. Les jetons matériels offrent un haut niveau de sécurité mais peuvent nécessiter un investissement initial pour acheter les jetons. Ils obligent également les utilisateurs à transporter un appareil physique supplémentaire, ce que certains peuvent trouver gênant.

Applications d'authentification

Applications d'authentification comme Google Authenticator, Azure MFA, Silverfortbauen Les applications d'authentification à distance génèrent des OTP sur le téléphone de l'utilisateur sans avoir recours aux SMS ou aux appels vocaux. Les OTP changent fréquemment et les applications ne transmettent pas les codes sur un réseau, il est donc très difficile pour les attaquants de les intercepter ou de les réutiliser. Les applications d'authentification à distance sont une solution MFA sécurisée, pratique et peu coûteuse pour les organisations disposant d'un budget limité. Cependant, elles nécessitent toujours que les utilisateurs disposent d'un appareil capable d'exécuter l'application mobile.

Biométrie

L'authentification biométrique, telle que la numérisation des empreintes digitales, du visage ou de l'iris, offre une solution MFA très résistante aux bombardements rapides et autres cyberattaques. Les utilisateurs non autorisés ont du mal à reproduire les données biométriques car elles sont basées sur les caractéristiques physiques de l'utilisateur. Ils sont également très pratiques pour les utilisateurs puisqu’ils ne nécessitent aucun appareil ou logiciel supplémentaire. Cependant, les systèmes biométriques nécessitent généralement un investissement initial important pour acheter le matériel et les logiciels de numérisation nécessaires. Ils peuvent également soulever des problèmes de confidentialité pour certains.

Solutions MFA Les solutions générant des OTP sur l'appareil, telles que les jetons matériels, les applications d'authentification et la biométrie, offrent la meilleure protection contre le prompt bombing et autres attaques automatisées. Les organisations doivent évaluer ces options en fonction de leurs besoins de sécurité, de leur budget et des préférences des utilisateurs. Avec une solution MFA adaptée, le prompt bombing peut être efficacement atténué.

Que faire si vous avez été victime d'un attentat à la bombe du MFA

Si votre organisation a été victime d'une attaque à la bombe rapide MFA, il est important de prendre les mesures suivantes pour atténuer les risques et éviter d'autres dommages :

Enquêter sur l'ampleur de l'attaque

Travaillez avec votre équipe de sécurité pour déterminer combien de comptes d'utilisateurs ont été ciblés et compromis. Recherchez les connexions non autorisées et examinez les journaux d’activité des comptes pour identifier les comptes auxquels vous avez accédé. Déterminez à quelles données ou ressources les attaquants peuvent également avoir accès. Cette enquête aidera à déterminer la gravité de l'incident et la réponse appropriée.

Réinitialiser les informations d'identification compromises

Pour tout compte compromis, réinitialisez immédiatement les mots de passe et les invites MFA. Générez des mots de passe forts et uniques pour chaque compte et activez MFA à l'aide d'une application d'authentification plutôt que de messages texte SMS. Assurez-vous que les utilisateurs activent MFA sur tous les comptes, pas seulement sur celui qui a été compromis. Les attaquants utilisent souvent l’accès à un compte pour accéder à d’autres.

Examiner et renforcer les politiques de sécurité des comptes

Passez en revue vos politiques et procédures de sécurité attribuées à chaque utilisateur pour identifier et corriger les failles de sécurité qui ont contribué à l'attaque. Par exemple, vous devrez peut-être appliquer des politiques de mot de passe plus strictes, limiter les tentatives de connexion au compte, restreindre l'accès au compte en fonction de l'emplacement ou de l'adresse IP, ou accroître la surveillance des connexions au compte. L'authentification multifacteur devrait être requise pour tous les comptes, en particulier les comptes administrateur.

Surveiller les comptes pour déceler d'autres activités suspectes

Surveillez de près tous les comptes au cours des prochains mois pour déceler tout signe d'accès non autorisé ou de tentatives de piratage de compte. Les attaquants peuvent continuer à cibler les comptes même après la compromission initiale pour maintenir l'accès. Vérifiez continuellement les connexions au compte et les journaux d’activité pour identifier tout comportement anormal le plus tôt possible.

Contacter les forces de l'ordre si nécessaire

Pour les attaques à plus grande échelle, contactez les forces de l’ordre locales et signalez le cybercrime. Fournissez tous les détails sur l’attaque qui pourraient faciliter une enquête. Les forces de l'ordre peuvent également proposer des recommandations supplémentaires sur la sécurisation de votre réseau et de vos comptes afin de prévenir de futures attaques.

Il est important de prendre des mesures rapides et approfondies en cas d’attaque à la bombe MFA afin de limiter les dégâts, de sécuriser vos systèmes et de minimiser les risques de compromission supplémentaire. Une surveillance et une vigilance constante sont nécessaires pour se protéger contre les attaques ultérieures d'acteurs malveillants à la suite d'une attaque. Grâce à une réponse et une collaboration rapides, les organisations peuvent surmonter les effets néfastes des bombardements rapides de MFA.

Retour au glossaire