L’authentification multifacteur (MFA) était autrefois considérée comme un rempart infranchissable contre les cyberattaques. En effet, elle exige des utilisateurs qu’ils fournissent une preuve supplémentaire de leur identité, en plus de leur mot de passe, pour accéder à un système ou à un compte. Cependant, les méthodes des cybercriminels ne cessent d’évoluer, et ils ont trouvé des moyens de contourner la MFA, comme le montre une récente attaque contre Uber.
Attaque par fatigue de la MFA : une nouvelle menace pour les entreprises
En 2022, les systèmes informatiques d’Uber ont été piratés grâce à une technique simple mais redoutable : l’attaque par fatigue de la MFA. Contrairement aux méthodes sophistiquées de piratage informatique, cette attaque exploite la lassitude et l’inattention de l’utilisateur.
Le pirate a commencé par obtenir le nom d’utilisateur et le mot de passe d’un employé d’Uber sur le dark web. Il a ensuite lancé une série de tentatives de connexion au compte de l’employé, déclenchant à chaque fois une notification push demandant à l’employé d’approuver la connexion. Face à ce flot incessant de notifications, l’employé, exaspéré, a fini par approuver une demande par inadvertance, permettant ainsi au pirate d’accéder au système.
Comment les cybercriminels contournent-ils l’authentification multifacteur (MFA) ?
Les attaques par fatigue de la MFA reposent sur deux piliers :
- L’envoi massif de notifications push: En submergeant la victime de notifications, les pirates la poussent à bout, augmentant les chances qu’elle approuve une demande par mégarde.
- L’ingénierie sociale: En se faisant passer pour un membre du service informatique ou en utilisant d’autres techniques de manipulation, les pirates peuvent inciter la victime à approuver une demande frauduleuse.
Comment se protéger contre les attaques par fatigue de la MFA ?
Bien que la MFA reste un élément important de la cybersécurité, il est crucial de prendre des mesures supplémentaires pour se protéger contre les attaques par fatigue :
- Désactiver les notifications push: Remplacer les notifications push par des méthodes de vérification alternatives, comme la correspondance de numéros ou les défis-réponses, rend plus difficile l’exploitation de la fatigue de l’utilisateur.
- Utiliser des clés de sécurité FIDO2: Ces clés physiques stockent la clé privée de l’utilisateur, offrant une protection renforcée contre le phishing et les attaques de l’homme du milieu.
- Rester vigilant: Face à des demandes d’authentification inhabituelles ou insistantes, il est essentiel de rester calme et de réfléchir avant d’agir. Si quelque chose semble suspect, il ne faut jamais approuver une demande sans être certain de son origine.
En conclusion, l’authentification multifacteur reste un outil précieux pour la cybersécurité, mais il est important de reconnaître ses limites et de mettre en place des mesures de protection supplémentaires. En combinant la MFA avec des méthodes de vérification alternatives et en restant vigilant, les entreprises et les particuliers peuvent mieux se prémunir contre les attaques par fatigue de la MFA et protéger leurs données.
En plus des conseils mentionnés dans l’article, voici quelques ressources supplémentaires :