Protéger les utilisateurs contre les attaques MFA Fatigue et renforcer la sécurité
Qu’est-ce qu’une attaque MFA Fatigue ?
Une attaque MFA Fatigue, également appelée MFA bombing ou MFA spamming, est devenue plus courante avec l’adoption croissante de l’authentification forte. Il s’agit d’une cyberattaque basée sur l’ingénierie sociale, où l’attaquant envoie de manière répétée des demandes d’authentification multifacteur (MFA) à l’adresse e-mail, au téléphone ou aux appareils enregistrés de la victime.
Chaque fois que les utilisateurs cliquent sur « approuver » ou saisissent un code PIN pour approuver, au lieu d’entrer un code affiché à l’écran, ils effectuent une approbation simple. L’objectif de cette attaque est de contraindre la victime à confirmer son identité via une notification, ce qui authentifierait la tentative de l’attaquant d’accéder au compte ou à l’appareil de la victime.
Les études de Microsoft montrent qu’environ 1 % des utilisateurs acceptent une demande d’approbation simple dès la première tentative. C’est pourquoi il est essentiel de s’assurer que les utilisateurs doivent saisir des informations provenant de l’écran de connexion et qu’ils disposent de plus de contexte et de protection. Ces attaques sont en hausse, notamment via les notifications push, les validations vocales et les SMS, qui sont les principaux vecteurs.
Empêcher les utilisateurs de valider accidentellement des connexions
La fonctionnalité Number Matching (avec l’expérience « saisir le code ») empêche les approbations accidentelles en obligeant l’utilisateur à entrer un code à deux chiffres affiché sur l’écran de connexion dans son application Authenticator.
Si l’utilisateur n’a pas initié la connexion, il ne connaîtra pas ce code à deux chiffres, ce qui oblige l’attaquant à le communiquer par un autre canal que l’utilisateur ne doit jamais accepter.
Number Matching est disponible en préversion publique pour MFA depuis novembre 2021, et près de 10 000 entreprises l’utilisent déjà quotidiennement. Elle est également l’expérience par défaut pour les connexions sans mot de passe via Microsoft Authenticator
Remarque : La fonctionnalité Number Matching sera bientôt activée automatiquement pour tous les utilisateurs de Microsoft Authenticator après la disponibilité générale (GA).
Aider les utilisateurs à prendre de bonnes décisions en leur fournissant plus de contexte
Le contexte supplémentaire affiche des informations additionnelles dans les notifications push envoyées à vos utilisateurs. Ces informations incluent :
-
- La localisation (basée sur l’adresse IP) d’où provient la tentative de connexion
- L’application à laquelle l’utilisateur essaie d’accéder
Ce contexte aide l’utilisateur à comprendre l’origine de la demande de connexion et réduit ainsi les risques d’approbation accidentelle.
La fonctionnalité Contexte supplémentaire est disponible en préversion publique depuis novembre 2021 et sera bientôt disponible en version générale (GA) pour les flux MFA et sans mot de passe.
Vous migrez encore vers Authenticator ? Changez automatiquement les mots de passe des utilisateurs à risque
Certains utilisateurs utilisent encore des mécanismes simples d’approbation MFA. Protégez ces utilisateurs en automatisant le changement de mot de passe pour les comptes à risque.
Si un utilisateur avec des approbations MFA simples reçoit des demandes MFA répétées, cela signifie que l’attaquant connaît son mot de passe. Si un attaquant tente une connexion risquée (par exemple depuis un emplacement inhabituel) et échoue à obtenir l’approbation via la notification MFA, le niveau de risque de l’utilisateur est automatiquement élevé au niveau de risque de cette tentative.
Vous pouvez consulter les utilisateurs à risque dans le rapport Azure AD Risky Users et utiliser ce niveau de risque pour changer automatiquement le mot de passe de ces utilisateurs.
Un changement de mot de passe par l’utilisateur corrige le risque et empêche l’attaquant d’envoyer d’autres demandes MFA.
Points importants à connaître
Vous n’aurez pas à effectuer la deuxième étape très souvent. Certaines personnes craignent que l’authentification multifacteur (MFA) soit trop contraignante, mais en réalité, elle est généralement requise uniquement lors de la première connexion à une application ou un appareil, ou après un changement de mot de passe. Ensuite, vous n’aurez besoin que de votre facteur principal, généralement un mot de passe, comme aujourd’hui.
La sécurité supplémentaire provient du fait que quelqu’un qui tente de pirater votre compte n’utilise probablement pas votre appareil, il lui faudra donc ce second facteur pour réussir.
L’authentification multifacteur ne concerne pas seulement le travail ou l’école. Presque tous les services en ligne de votre banque à votre e-mail personnel, en passant par vos réseaux sociaux prennent en charge l’ajout d’une deuxième étape d’authentification. Vous devriez accéder aux paramètres de compte de ces services et activer cette fonctionnalité.
Votre sécurité est notre priorité, c’est pourquoi nous vous recommandons vivement d’activer ces fonctionnalités dès que possible. Pour éviter les problèmes liés à MFA et obtenir une assistance rapide en matière de sécurité, contactez ITM dès aujourd’hui.
