websights Non, toutes les solutions MFA ne sont pas vulnérables aux bombardements intempestifs - TrustBuilder

Vous cherchez inwebo.com? Vous êtes au bon endroit ! Pour en savoir plus, lisez notre article de blog

Rejoignez-nous en personne lors des prochains salons et conférences de l'industrie.

Non, toutes les solutions MFA ne sont pas vulnérables aux bombardements rapides.

Avez-vous déjà entendu parler de MFA prompt bombing ? C'est le sujet brûlant du moment en matière de cybersécurité. Cette technique a récemment été utilisée contre Uber par le célèbre groupe de pirates "Lapsus$".

Et Uber est loin d'être un cas isolé. Les cybercriminels d'aujourd'hui ne cessent d'innover en exploitant les moindres failles du monde numérique. Ils sont capables de contourner certains systèmes d'authentification forte (2FA ) qui apportent une couche de sécurité supplémentaire aux comptes des utilisateurs, mais une couche largement insuffisante au regard de la complexité des attaques actuelles.

Image-article-MFA-fatigue-WP-v3

L'Identity Defined Security Alliance (IDSA) a récemment publié un rapport sur les tendances 2022 en matière de sécurisation des identités numériques. Parmi les 500 professionnels de l'informatique interrogés, 84 % ont déclaré que leur organisation avait été victime d'une usurpation d'identité au cours de l'année écoulée¹. Une augmentation de 5 points par rapport au rapport de l'année précédente.

Pour faire face à ces menaces, il est plus qu'essentiel de sensibiliser les employés et les clients aux meilleures pratiques et de renforcer les infrastructures de sécurité existantes.

Comment fonctionne le bombardement éclair ?

Les attaques de type "Prompt bombing" (ou "push bombing") utilisent l'authentification multifactorielle pour inonder les utilisateurs de notifications "push" et pirater leurs comptes. Que ce soit intentionnel ou non, certains finissent par accepter des demandes initiées par les pirates.

Pour accéder aux données de leurs cibles, les pirates obtiennent illégalement des informations d'identification valides. Lors de la tentative de connexion, ils comptent sur le fait qu'un utilisateur inondé de notifications approuvera à un moment donné l'authentification. Le terme "MFA Fatigue " fait référence à la lassitude des utilisateurs causée par ces innombrables notifications.

Cela semble banal, mais cela a fonctionné avec Uber. Le pirate a utilisé les données de connexion d'un employé et lui a envoyé des notifications push de manière agressive. Avant d'approuver l'opération, l'utilisateur a même été contacté sur WhatsApp par un soi-disant membre de l'équipe informatique de son entreprise, lui demandant d'accepter la notification pour qu'elle s'arrête. Il s'agit d'une forme d'ingénierie sociale.

Une tentative de "prompt bombing" réussie peut donner aux pirates la possibilité d'ajouter leur appareil au compte piraté et de supprimer l'accès de l'utilisateur d'origine. En fonction des autorisations dont dispose la victime au sein de l'organisation, les attaquants peuvent accéder à des données et des ressources plus ou moins confidentielles et les exploiter.

Lutter contre les bombardements intempestifs avec inWebo MFA

Les attaques modernes nécessitent des méthodes modernes. Voici les différentes solutions proposées par inWebo pour contrer le prompt bombing :

Configurer le service pour plus de sécurité

inWebo offre un niveau de sécurité supplémentaire grâce à ses options de réglage. Par exemple, il est possible de rendre le code PIN obligatoire et de ne pas autoriser la biométrie sur les téléphones portables, ce qui favorise l'acceptation involontaire ou basée sur l'habitude.

Allez dans la section "Paramètres de service" de votre outil d'administration. Vous pourrez y choisir de vous authentifier avec ou sans code PIN et de désactiver le champ "Authentification biométrique autorisée". Veuillez noter que lorsque le code PIN est désactivé, l'authentification biométrique n'est pas disponible.

Inscrivez le navigateur de vos utilisateurs

La solution inWebo token browser permet l'enrôlement des navigateurs web et mobiles. Elle certifie que la tentative de connexion provient d'un navigateur de confiance, c'est-à-dire d'un appareil répertorié par l'entreprise. Il est possible de rendre cette manipulation obligatoire pour augmenter substantiellement la sécurité des connexions. Ce système permet de répondre à la fois aux bombardements rapides et aux attaques potentielles du service d'hameçonnage Evil Proxy.

 

Découvrez comment ajouter un utilisateur à votre plateforme et lui permettre de s'authentifier en toute sécurité. Activez votre compte en suivant les procédures décrites dans le courriel d'invitation. Inscrivez votre navigateur de confiance en activant et en paramétrant votre code PIN et votre phrase anti-phishing. Ajoutez votre téléphone portable ou suivez les étapes directement sur votre navigateur.

Lire la vidéo

Désactiver les notifications push

Le système d'authentification multifactorielle inWebo permet à l'utilisateur de désactiver les notifications push. Pour se connecter, il devra valider directement par lui-même les tentatives de connexion dans l'application. Sans sollicitations intempestives, l'utilisateur est protégé des attaques de type prompt bombing.

Générer un mot de passe unique (OTP)

Les méthodes décrites ci-dessus peuvent être améliorées grâce au mot de passe à usage unique d'inWebo (OTP). Cette solution exige que l'utilisateur génère un mot de passe unique sur son téléphone portable. Ce OTP doit ensuite être saisi dans le navigateur de confiance. Sans aucune sollicitation extérieure, à travers une chaîne de dispositifs certifiés, la connexion aux données les plus sensibles est protégée au plus haut niveau.

Pour effectuer cette opération, il suffit de se rendre sur le portail d'authentification de votre organisation et de sélectionner "Show me other options". Il vous sera demandé votre login et OTP. Allez sur votre application mobile et sélectionnez "Generate an OTP". Vous recevrez alors un mot de passe à usage unique, qui expirera automatiquement après 30 secondes. Saisissez ce mot de passe dans votre navigateur pour compléter votre authentification.

Il reste encore un long chemin à parcourir avant de rendre les systèmes MFA totalement résistants aux bombardements intempestifs. Cela dit, comme le montre la solution inWebo MFA , il existe déjà de nombreux moyens de lutter contre la diversité technique et sociale des cyberattaques, à condition de bien choisir ses outils et ses politiques de sécurité. Toutes les solutions MFA ne se valent pas et le 2FA n'est pas aussi puissant que MFA.

Sensibiliser et former les utilisateurs aux meilleures pratiques

La mise en œuvre de ces mécanismes de sécurité ne suffit pas. Il est maintenant nécessaire de sensibiliser les utilisateurs aux attaques de type "prompt bombing" et de leur apprendre à adopter les bons comportements. Ces actions préventives permettent d'identifier plus facilement les demandes d'authentification suspectes et de réagir en conséquence.

Par exemple, certains clients d'inWebo ont lancé des campagnes basées sur la capacité de notre API à envoyer des notifications push. Avec un simple script, les administrateurs simulent des attaques de type prompt bombing sur tout ou partie des utilisateurs de la solution. Ils peuvent ainsi détecter les utilisateurs qui signalent correctement l'attaque ou, au contraire, ceux qui y cèdent. Il est alors possible de cibler et d'adapter les messages de sensibilisation à la maturité technologique des différents publics.

Renforcez votre infrastructure de sécurité avec inWebo token browser

Cette année, 82 % des violations de données ont été causées par un facteur humain². Tels sont les résultats du rapport 2022 de Verizon sur les enquêtes relatives aux violations de données. Cette étude basée sur 23 000 incidents et 5 200 violations confirmées dans le monde entier souligne l'importance des programmes de sensibilisation. Le cas d'Uber est en ligne avec les résultats de cette enquête.

Si les infrastructures de sécurité existantes offrent une véritable couche de protection, elles peuvent aussi créer des frictions et altérer l'expérience de l'utilisateur. Les méthodes modernes d'authentification multifactorielle recommandent désormais l'utilisation de clés de sécurité FIDO2. L'association de ces clés matérielles à la technologie inWebo token browser permet de lutter à la fois contre le phishing et le prompt bombing.

Les attaques de type "Prompt bombing" (ou "push bombing") utilisent les failles des systèmes MFA pour bombarder les utilisateurs de notifications push et pirater leurs comptes. Certains pirates, comme dans le cas d'Uber, contactent même leurs victimes sur WhatsApp pour les inciter à accepter ces demandes d'authentification.

MFA la fatigue fait référence à la lassitude des utilisateurs face aux innombrables notifications push qu'ils reçoivent lors d'une tentative d'attentat à la bombe MFA .

L'authentification multifactorielle (MFA), ou authentification forte, est un mécanisme de sécurité qui nécessite au moins deux facteurs de validation pour prouver l'identité d'un utilisateur. Le plus souvent, il s'agit de se connecter à un réseau, à une application ou à une autre ressource sans avoir à recourir à une simple combinaison de nom d'utilisateur et de mot de passe.