Le MFA empêche-il la prise de contrôle de compte ?

Même si le MFA (authentification à plusieurs facteurs) rend plus difficile la prise de contrôle de compte par credential stuffing, les attaquants ont trouvé des moyens de la contourner.

En conséquence, les entreprises doivent mettre en place des mesures additionnelles pour renforcer la sécurité du MFA, telles que la réduction des bots et la surveillance du risque contextuel.

Malgré ses points faibles, le MFA représente une avancée majeure, car l'authentification basée uniquement sur les mots de passe s'est clairement révélée inefficace. Pour l’être humain, il est tout simplement impossible de mémoriser de longues séries de caractères. Cela nous pousse à choisir des mots de passe simples et faciles à deviner, que nous réutilisons ensuite sur différentes applications, entraînant ainsi de nombreuses vulnérabilités de sécurité.

Cependant, avec la disparition des mots de passe et l'adoption du MFA, nous avons constaté une augmentation des attaques à son encontre, telles que :

Real-time phishing proxy (RTPP)

Lors d'une attaque de real-time phishing proxy (RTPP), les fraudeurs déploient des messages de phishing pour tromper les utilisateurs et les rediriger vers un site contrôlé par l'attaquant, se faisant passer pour une plateforme de confiance. Ils poussent alors l'utilisateur à fournir ses informations d'identification et à valider la demande d'authentification à double facteur, que ce soit par un SMS ou une notification push. Le RTPP transmet les identifiants à l'application cible et y accède. 

Le MFA bombing

Au cours d'une attaque de type MFA bombing, l'assaillant pousse la victime à divulguer son code d'authentification en envoyant une série de demandes frauduleuses pour l'obtenir. Cette tactique est particulièrement efficace contre les applications d'authentification qui dépendent des notifications push, car l'utilisateur peut rapidement mettre fin à cette avalanche de requêtes en appuyant sur un bouton. Les assaillants associent parfois le MFA bombing à des stratégies d'ingénierie sociale pour inciter les utilisateurs à accepter la notification push et à accorder l'autorisation d'accès.

L’usurpation de données biométriques

Les attaquants ont même contourné l'authentification biométrique. Car nous laissons nos empreintes digitales un peu partout, sur presque chaque surface lisse que nous touchons, où elles peuvent être collectées et reproduites à l'aide de divers outils. Des experts en sécurité ont également montré qu'il était envisageable de contrefaire la reconnaissance faciale et vocale, ainsi que la numérisation de l'iris. Même si les fournisseurs ont élaboré des méthodes pour lutter contre l'usurpation, comme les contrôles de présence pour repérer les tentatives de contournement, tout dispositif biométrique spécifique peut devenir vulnérable à mesure que les attaquants perfectionnent leurs techniques.

Le SIM swapping

Le SIM swapping implique que des fraudeurs exploitent la capacité des fournisseurs de services à transférer un numéro de téléphone vers un autre appareil. Il collecte des informations personnelles sur la victime, puis se sert de l'ingénierie sociale d'une personne du service technique pour transférer le numéro de téléphone de la victime sur la carte SIM de l'escroc. S'il contrôle le téléphone de la victime, le fraudeur reçoit les SMS destinés à l'utilisateur, après quoi il peut intercepter les mots de passe à usage unique (OTP) et contourner le MFA.

Renforcer la sécurité du MFA

Le MFA constitue une avancée majeure par rapport à l'authentification basée uniquement sur les mots de passe, et il n’est pas prêt de disparaître. Ainsi, il incombe aux experts en cybersécurité de travailler activement à contrer les vulnérabilités potentielles.

Pour commencer, il est essentiel de réduire les risques associés aux bots. La réutilisation de mots de passe permet aux attaquants de déployer des bots pour tester les identifiants dérobés lors des connexions, une méthode appelée le « credential stuffing » selon l'OWASP. Cela leur permet de contourner le premier facteur du MFA. Les attaquants se servent également de bots dans les attaques RTPP pour transmettre les OTP au site cible avant qu'ils n'expirent. Le « MFA bombing » est lui aussi une attaque automatisée qui s'appuie sur des bots. Grâce à une solution efficace de gestion des bots, une équipe de sécurité est capable de se débarrasser d'un élément essentiel sur lequel les attaquants s'appuient pour mettre à l'échelle les techniques de contournement du MFA.

Une approche supplémentaire pour atténuer les vulnérabilités du MFA consiste à prendre en compte le risque contextuel. Il peut être évalué grâce à des facteurs tels que l'adresse IP de l'utilisateur, son fournisseur d'accès, sa localisation géographique, l'heure du jour, son appareil, les fonctionnalités auxquelles il a accédé, ainsi que son comportement. Ces éléments peuvent être utilisés pour générer un score de risque qui évolue au fur et à mesure que l'utilisateur interagit avec l'application. Plus le score est élevé, plus les exigences en matière d'authentification sont strictes, ce qui peut aboutir à la désactivation d'un compte.

Les étapes à venir

Elles impliqueront certainement davantage de commentaires sur la fin des mots de passe, ainsi qu'un engouement médiatique autour des nouvelles méthodes de MFA censées garantir une authentification sécurisée à long terme. Mais les pirates déterminés trouveront toujours des moyens de contourner les nouvelles mises en œuvre, ce qui vous obligera à poursuivre l'analyse et l'atténuation des vulnérabilités du MFA.