Les pirates profitent de la lassitude des MFA pendant les vacances
L'authentification multifacteur (MFA) est la référence absolue dans les bureaux du monde entier. Nous connaissons tous l'analyse : vous utilisez votre nom d'utilisateur (souvent et sans doute votre adresse e-mail) et, peut-être, comme mot de passe, le nom de votre premier chien et les quatre derniers chiffres de votre numéro de sécurité sociale.
Pas très infaillible, mais souvent, l'utilisateur n'est pas trop inquiet. Dans leur esprit, ils savent que si le pirate trouve ses identifiants de connexion à l'aide de différents outils ou techniques, il doit toujours trouver son chemin vers la deuxième couche de sécurité de MFA.
Méfiez-vous de la « bombardement »
Cependant, ce que l'utilisateur ne réalise peut-être pas, c'est que les pirates ont développé de nombreuses méthodes éprouvées pour y parvenir, notamment les attaques d'ingénierie sociale, le spear phishing et les attaques DDoS. Et il y a un autre outil préféré des pirates informatiques à leur disposition, et il repose sur les utilisateurs fatigués, fatigués ou suffisamment agacés pour « céder ». Et qui n’est pas fatigué ou fatigué dans le sprint final pour conclure la Q4 et les cadeaux de Noël? La technique que les pirates aiment employer à cette période de l’année s’appelle le « push bombing ».
La Cybersecurity and Infrastructure Security Agency (CISA) décrit la bombardement push comme une situation où l'utilisateur est bombardé par des notifications push jusqu'à ce qu'il clique sur le bouton « Accepter ».
« C’est un outil étonnamment efficace, bien qu’il soit très low-tech et basé sur la force brute », explique Sandy Duncan, expert en cybersécurité à Cincinnati, Ohio. Duncan ajoute que les pirates se préparent à différents facteurs lors de l'utilisation d'une campagne de bombardement.
« Le plus grand attrait de la bombardement est qu'elle est bon marché, et si vous choisissez le moment le plus opportun pour lancer une telle attaque, vos chances de succès sont plus importantes », explique Duncan. Duncan note que ce sont quelques-uns des moments spécifiques de la journée que les bombardiers aiment cibler:
Début de la journée de travail: « Il n’y a pas de plus grand tracas que de vouloir commencer votre journée de travail et d’avoir à parcourir un tas d’invites », souligne Duncan.
Juste avant le déjeuner: « Qui ne veut pas finir son travail et aller déjeuner? » demande Duncan.
Au milieu de la nuit : « Croyez-le ou non, c’est efficace », dit Duncan. « Certaines personnes, y compris le personnel essentiel et d’autres, consultent leurs courriels ou se connectent la nuit, puis il y a ceux qui veulent simplement s’enregistrer et ensuite se rendormir. S’ils reçoivent un tas d’invites, ils pourraient être tentés de céder pour pouvoir se rendormir.
Déjouer les attaques avec une formation appropriée et des techniques préventives
L’outil push-bombing est si efficace pendant le sprint vers les vacances que CISA a inclus le push-bombing dans sa liste de menaces MFA à surveiller. Pour ajouter une couche pour contrecarrer le push-bombing, la CISA recommande un OTP basé sur des jetons.
Selon l’avertissement de la CISA :
Dans la notification push mobile, l’utilisateur accepte une invite « push » envoyée à l’application mobile pour approuver une demande d’accès. Lorsque la correspondance des nombres est implémentée, il y a une étape supplémentaire entre la réception et l'acceptation de l'invite : l'utilisateur doit saisir des numéros de la plateforme d'identité dans l'application pour approuver la demande d'authentification."
L'authentification multifacteur évolue, dit Duncan, mais ce sont les techniques des pirates.
« La nature humaine a toujours été le maillon le plus faible de la cybersécurité », ajoute Duncan. « Les pirates savent que les gens sont fatigués et ennuyés et parfois numérotés aux demandes de MFA constantes ; s'ils sont suffisamment portés, les pirates comptent sur les utilisateurs qui saisissent leurs informations pour se débarrasser de l'invite. »
Alors, comment éviter d'être victime d'une campagne de bombardement ? Duncan recommande les étapes suivantes :
La formation des utilisateurs
Plus quelqu’un en sait, plus il peut être vigilant. « Certaines personnes ne savent même pas que c’est une chose, et elles supposent simplement que les invites constantes sont une sécurité trop musclée et font ce qu’elles peuvent pour s’en débarrasser », dit Duncan. Ainsi, la formation des utilisateurs est le moyen le moins cher d’alerter les gens de la menace que représente le push-bombing.
Correspondance des numéros
C’est une méthode efficace pour conjurer la fatigue du MFA et les campagnes de bombardement poussé. La correspondance de numéros est un paramètre qui oblige l’utilisateur à entrer des numéros de la plateforme d’identité dans son application pour approuver la demande d’authentification. Le site de CISA fournit des informations sur l'implémentation de la correspondance des numéros dans les applications MFA. Si vous regardez les figures 3 et 4, elles fournissent à l’utilisateur une vue d’un écran de connexion à la plate-forme d’identité qui utilise la correspondance de numéros. La correspondance des numéros Microsoft et DUO sont deux des numéros les plus populaires.
« Bien sûr, cette technique n'est pas à l'abri du phishing, mais c'est un bon arrêt. Malheureusement, chaque fois que nous semblons devancer les pirates, ils rattrapent leur retard », explique Duncan.
Mettez en place un modèle d'accès zero trust pour vos applications et données, peu importe l'appareil et l'emplacement
Cet article a initialement été publié sur SmarterMSP.com. Abonnez-vous à SmarterMSP.com pour obtenir les toutes dernières informations sur la cybersécurité et les actualités qui vous aideront à améliorer votre activité de MSP.
