Mois de la sensibilisation à la cybersécurité : l’authentification multifacteur est plus cruciale que jamais

Octobre est le Mois de la sensibilisation à la cybersécurité (CAM), une initiative mondiale dédiée à la sensibilisation à la sécurité en ligne. CAM est un rappel annuel que la cybersécurité repose sur quatre pratiques fondamentales que chaque organisation doit suivre pour rester sécurisée. 

Parmi ces pratiques fondamentales, l'activation de l'authentification multifacteur (MFA) est l'un des moyens les plus efficaces de protéger vos comptes et vos données. L'Alliance nationale pour la cybersécurité indique que l'activation de la MFA permet d'éviter 99 % des attaques de piratage automatisées.  La MFA n'est cependant pas infaillible, alors voyons de plus près ce que c'est, comment elle fonctionne et comment nous pouvons tirer le meilleur parti de cette pratique.

Qu'est-ce que la MFA et comment est-il né ?

L'authentification multifacteur (MFA) est un processus de sécurité qui oblige les utilisateurs à vérifier leur identité en utilisant au moins deux facteurs indépendants. Ces facteurs se répartissent en plusieurs catégories :

• Connaissance : quelque chose que vous connaissez (mot de passe, code PIN, question de sécurité)
• Possession: quelque chose que vous possédez (smartphone, jeton matériel, carte à puce, mot de passe à usage unique)
• Inhérence : quelque chose que vous êtes (empreinte digitale, identification faciale, reconnaissance vocale)
• Localisation et comportement : endroit où vous vous trouvez (localisation, adresse IP, géorepérage : utilisé dans le cadre d'une authentification multifacteur adaptative)

Nous ne connaissons pas l'origine exacte de la MFA, mais l'idée existe depuis des décennies. Les guichets automatiques (DAB) sont souvent cités comme la première utilisation courante de l'authentification multifacteur (MFA), car ils exigeaient la possession d'un chèque ou d'une carte physique et la connaissance du code PIN. Vous deviez avoir les deux pour avoir accès au compte associé.

Cette pratique de sécurité n'a été connue sous le nom de MFA que bien plus tard, lorsque les organismes de réglementation et de normalisation ont commencé à l'inclure en tant que contrôle. À mesure que les services en ligne et les cybermenaces augmentaient, la MFA est devenue un outil de cybersécurité et s'est étendue aux applications mobiles, à la biométrie et aux contrôles adaptatifs (contextuels) basés sur les risques utilisés dans les environnements Zero Trust.

L’authentification multifacteur (MFA) et l’authentification à deux facteurs (2FA) sont parfois utilisées de manière interchangeable, mais ce sont deux pratiques distinctes. L'authentification à deux facteurs (2FA) requiert exactement deux facteurs de catégories distinctes, et c'est ce que de nombreuses applications grand public utilisent pour sécuriser les connexions des clients. L'authentification multifacteur (MFA) peut combiner deux ou plusieurs types d'identifiants, tels qu'un mot de passe, un appareil mobile ou un contrôle biométrique. Le déploiement de plus de deux facteurs ou de vérifications contextuelles est bien plus sûr que l'authentification à deux facteurs (2FA).

Comment les pirates contournent l'authentification 2FA / MFA

Les pirates sont de plus en plus habiles à contourner les mesures de sécurité de la MFA. Voici quelques-unes des méthodes qu'ils ont utilisées pour contourner la deuxième authentification :  

• Des kits d’hameçonnage comme Whisper 2FA qui peuvent intercepter des codes à usage unique.
• Les attaques Adversary-in-the-Middle (AiTM) ou par proxy peuvent transmettre des identifiants et des codes MFA aux pirates en temps réel. Ces attaques interceptent le trafic et manipulent l'authentification.
• La MFA fatigue/push bombing est une attaque qui inonde les utilisateurs de demandes de connexion/MFA répétées. Cette tactique fonctionne lorsque les utilisateurs approuvent la connexion juste pour que les alertes cessent.
• Les attaques par échange de SIM impliquent que des acteurs malveillants détournent des numéros de téléphone pour intercepter des codes d'autorisation. Voici un exemple d'échange de cartes SIM contre la SEC (Securities and Exchange Commission).
• Les scams de service d'assistance/social engineering, où les acteurs malveillants usurpent l'identité des utilisateurs pour tromper le personnel informatique et obtenir l'accès à un compte.

Vous pouvez vous défendre contre ces attaques avec une MFA résistante à l'hameçonnage (clés matérielles, authentificateurs basés sur des applications), éduquer les utilisateurs sur la fatigue du push et l'hameçonnage, et renforcer le service d'assistance et les procédures de récupération de compte.

Déploiement et gestion de l'authentification multifacteur

Un déploiement MFA réussi commence par une stratégie et une formation des utilisateurs. Éduquez les utilisateurs sur les attaques d'identifiants et pourquoi la MFA est une défense si importante. Comme pour tout projet informatique, le soutien des parties prenantes rendra le déploiement beaucoup plus fluide. La collaboration avec les parties prenantes vous aidera également à déterminer les niveaux de risque et les exigences de la MFA pour les utilisateurs et les groupes.

Lorsque vous serez prêt à effectuer le déploiement, commencez par les comptes privilégiés. Protégez les comptes administratifs et exécutifs avant de l'étendre au reste des utilisateurs. Assurez-vous de tout couvrir : VPN, e-mail, accès à distance, applications SaaS et cloud, etc. Le cas échéant, utilisez une authentification renforcée pour les comptes à haut risque.

Si possible, déployez l'authentification unique (SSO), l'authentification multifacteur adaptative (MFA), et l'authentification par push pour faciliter l'authentification sécurisée des utilisateurs. N'oubliez pas non plus d'établir une politique de récupération sécurisée et des options de sauvegarde, une formation continue des utilisateurs et une procédure d'intégration pour les employés qui quittent l'entreprise.

Au-delà de l'authentification multifacteur : accès Zero Trust

Bien que l'authentification multifacteur (MFA) soit une couche de défense essentielle, l'accès Zero Trust va plus loin. Zero Trust part du principe qu'aucun utilisateur ou appareil n'est intrinsèquement approuvé, même à l'intérieur du réseau. Les plateformes modernes de Zero Trust, telles que Barracuda SecureEdge Zero Trust Access, combinent l'authentification multifacteur (MFA) avec des contrôles d'accès avancés pour bloquer l'accès non autorisé, même si les pirates disposent d'identifiants valides ou de jetons de session.

La cybersécurité est une responsabilité partagée. L'activation de l'authentification multifacteur est l'une des mesures les plus simples et les plus efficaces que vous puissiez prendre pour vous protéger et protéger votre organisation. À mesure que les kits de phishing et les attaques de type AiTM (Adversary in the Middle) deviennent plus sophistiqués, il est essentiel d'utiliser une MFA puissante et résistante au phishing et d'envisager de passer à un accès Zero Trust pour une protection encore plus renforcée.