Face à la menace de phishing, le MFA reste la meilleure défense
Enfin, c’est ce que l’on croyait… en 2022, l’entreprise UBER a été victime d’une attaque appelée « MFA Fatigue Attack* » qui consiste à spammer une victime, via des requêtes MFA répétées jusqu’à obtenir le sésame : l’accès au système. Alors est-ce que le MFA reste la protection ultime ? Et bien oui ! Dans tous les cas figures, le MFA est la meilleure défense ; d’une part, elle suffit à stopper la plupart des attaques, et d’autre part elle renforce la posture cybersécurité des entreprises. En résumé, mieux du MFA que pas de MFA du tout.
Dans cet article, nous allons examiner comment le MFA peuvent être une défense efficace contre l’hameçonnage.
Toutes les solutions MFA ne se valent pas pour contrer les attaques de phishing.
Les méthodes d’authentification multifactorielle (MFA) sont conçues pour renforcer la sécurité des accès en exigeant plusieurs facteurs de vérification. Cependant, certaines de ces méthodes résistent très mal aux attaques de phishing, ce qui peut compromettre la sécurité des systèmes qu’elles protègent. Petit aperçu des méthodes MFA les plus vulnérables au phishing :
Codes SMS
La méthode des codes envoyés par SMS est l’une des techniques MFA les plus utilisées, mais aussi l’une des plus vulnérables aux attaques de type « SIM swap ». Celles-ci permettent aux attaquants de prendre le contrôle du numéro de téléphone de la victime : le pirate persuade téléphonique de transférer le numéro sur une nouvelle carte SIM. Une fois en possession de la carte SIM, l’attaquant peut accèder aux codes MFA envoyés par SMS, contournant ainsi la sécurité.
Applications Authenticator
Les applications, comme Google Authenticator ou Microsoft Authenticator, génèrent des codes temporaires d’authentification. Une méthode particulièrement vulnérable aux attaques de type « Man-in-the-middle », qui permettent aux attaquants d’intercepter les codes envoyés.
Notifications Push
Les attaques de « fatigue MFA » exploitent la tendance des utilisateurs à approuver des notifications répétées sans vérifier leur légitimité. Les attaquants envoient de multiples demandes de connexion jusqu’à ce que l’utilisateur, par fatigue ou par erreur, approuve une demande frauduleuse.
Kits de Phishing MFA
Disponibles sur le marché noir, ces kits permettent aux attaquants de créer des sites de phishing sophistiqués imitant les pages de connexion légitimes. Ces kits peuvent capturer, non seulement les identifiants de connexion, mais aussi les codes MFA, en les transmettant en temps réel au véritable site, permettant ainsi à l’attaquant de se connecter.
L’importance de la norme FIDO2**/WebAuthn et de l’authentification PKI dans la prévention contre le phishing.
Pour prévenir efficacement le phishing via l’authentification multifactorielle (MFA), deux méthodes se distinguent par leur robustesse : FIDO2/WebAuthn et l’authentification basée sur l’infrastructure à clé publique (PKI).
Comment ça marche ?
FIDO2/WebAuthn
Ces méthodes utilisent la cryptographie à clé publique pour authentifier les utilisateurs, et ce sans nécessiter de mots de passe. Ainsi, lors de l’enregistrement sur un site ou une application compatible, l’utilisateur crée une paire de clés unique : une clé privée qui reste sur l’appareil et une clé publique envoyée au serveur. Quand l’usager se connecte, le serveur envoie un défi à l’appareil de l’utilisateur, qui utilise la clé privée pour le signer et renvoyer la réponse. Le serveur vérifie ensuite la signature avec la clé publique stockée pour accorder l’accès. Ces dispositifs, ne répondant qu’aux défis issus des sites ou applications légitimes, rendent les attaques de phishing inefficaces, ainsi que l’usurpation d’identité
Authentification basée sur l’infrastructure à clé publique (PKI)
L’authentification PKI utilise des certificats numériques pour valider l’identité de l’utilisateur. Ils sont stockés sur des dispositifs matériels comme des cartes à puce ou des tokens USB, et lors de la connexion, l’utilisateur insère le dispositif et entre un code PIN pour accéder au certificat, qui est ensuite utilisé pour authentifier l’utilisateur auprès du système. La difficulté à falsifier les certificats numériques et la nécessité d’une validation cryptographique, rendent les solutions équipées de ce dispositif très résistantes aux attaques de phishing.