Ignorer l'authentification multifacteur
Techniques avancées simulant le comportement des utilisateurs
Les nouvelles cyberattaques passent outre la sécurité de la MFA
L'authentification multifacteur, ou MFA, est depuis longtemps la pierre angulaire de la gestion des identités et des accès. En exigeant des utilisateurs qu'ils ajoutent à la combinaison classique du nom d'utilisateur et du mot de passe des facteurs d'authentification supplémentaires, des empreintes digitales aux codes à usage unique ou aux clés matérielles, les organisations parviennent à mieux protéger leurs réseaux et leurs données contre les attaques utilisant des informations d'identification volées.
Toutefois, les acteurs malveillants trouvent de nouvelles manières de contourner la MFA. Microsoft a récemment détecté une campagne de phishing qui ciblait plus de 10 000 organisations en employant les techniques d'attaque de l'homme du milieu (« on-path »). Les auteurs des attaques ont utilisé des sites de proxy inverse pour simuler une page de connexion Microsoft 365 frauduleuse, depuis laquelle ils ont pu intercepter les mots de passe et les cookies de session des utilisateurs, ce qui leur a permis de contourner les mesures de MFA et d'accéder à de nombreux comptes de messagerie.
Lorsque les auteurs des attaques ont infiltré les comptes d'utilisateurs légitimes, ils ont créé des règles de boîte de réception qui leur ont permis de lancer des attaques ciblées par compromission des adresses e-mail professionnelles (BEC, Business Email Compromise) contre des contacts non avertis et de conserver l'accès aux comptes, même si les utilisateurs modifiaient ensuite leur mot de passe.
Cette attaque a alerté les organisations qui avaient déployé la MFA. Après tout, les mesures de MFA sont conçues pour vérifier l'identité des utilisateurs, et ainsi, à prouver que les employés, les sous-traitants, les fournisseurs et les autres parties autorisées sont bien ceux qu'ils prétendent être, avant d'accorder l'accès à des informations et des systèmes sensibles. Si des acteurs malveillants parviennent à se faire passer pour des utilisateurs légitimes, la porte est grande ouverte.
Cependant, la MFA n'est pas le maillon faible, et les organisations ne devraient pas la délaisser au profit de méthodes moins robustes de gestion des identités et des accès. Au contraire, la protection des utilisateurs et des données contre les cyberattaques avancées nécessite une stratégie de sécurité Zero Trust exhaustive, qui emploie des mesures d'authentification forte pour vérifier et surveiller continuellement l'ensemble des comptes, applications et points de terminaison d'un réseau d'entreprise.
Comment les attaques contournent les mesures de cybersécurité classiques
Les attaques de l'homme du milieu ne constituent pas la seule approche que les acteurs malveillants ont récemment utilisée pour compromettre la MFA. Le FBI et le CISA ont identifié une cyberattaque russe qui recourait à la recherche de mots de passe par force brute afin d'accéder à un compte inactif au sein d'une organisation non gouvernementale. Lorsque le pirate a accédé au compte, il a exploité une vulnérabilité appelée « PrintNightmare » pour exécuter du code qui lui conférait des privilèges système et contournait les contrôles MFA standard.
Dans d'autres circonstances, la MFA a été compromise en raison d'erreurs humaines. Après que l'université de Syracuse a déployé la MFA sur ses systèmes de messagerie interne, des acteurs malveillants ont tenté de spammer les étudiants et le personnel avec une attaque appelée « MFA fatigue ». Les pirates ont eu recours au phishing et à d'autres méthodes pour obtenir l'accès aux identifiants de messagerie, puis ont transmis une multitude de demandes de MFA aux appareils des utilisateurs, dans l'espoir que ces derniers seraient trop agacés par ces demandes pour les refuser. Lorsqu'un utilisateur approuvait une demande d'autorisation (ne serait-ce que pour faire taire son téléphone), le pirate pouvait accéder à d'autres ressources et d'autres comptes de l'université.
Bien que les acteurs malveillants continuent de trouver de nouveaux moyens de compromettre la MFA, cela n'indique pas une faiblesse des protocoles de MFA eux-mêmes. Au contraire : selon Anne Neuberger, Deputy National Security Advisor for Cyber and Emerging Technology, l'utilisation de la MFA permet d'empêcher jusqu'à 90 % des tentatives de cyberattaques. Il est important de se souvenir que les cyberattaques sont complexes. Les acteurs malveillants ne ciblent pas simplement la MFA dans le but de pirater des comptes, mais plutôt dans le cadre d'une suite d'attaques pouvant également recourir au phishing, aux logiciels malveillants, à la recherche de mots de passe par force brute, à l'exploitation de vulnérabilités non corrigées, au vol d'informations d'identification ou à une combinaison d'autres tactiques.
L'approche Zero Trust empêche l'exploitation de la MFA
Miser sur une tactique de sécurité unique ne permet pas de protéger une organisation contre des attaques toujours plus sophistiquées. À l'instar des acteurs malveillants, qui emploient plusieurs tactiques pour accéder à des comptes sensibles, les entreprises doivent établir une stratégie de sécurité à plusieurs facettes pour protéger leurs utilisateurs et leurs données.
L'approche Zero Trust est un principe fondamental de la cybersécurité moderne, qui consiste à n'accorder aucune confiance à tout utilisateur tentant d'accéder aux ressources d'une organisation. Il devient ainsi plus difficile pour des acteurs malveillants (qu'ils soient à l'extérieur ou à l'intérieur d'une organisation) de pénétrer sur réseau ou d'infiltrer un compte.
En pratique, une plateforme Zero Trust permet aux organisations de sécuriser leurs réseaux avec plusieurs méthodes, parmi lesquelles :
L'authentification multifacteur : la MFA peut être mise en œuvre au moyen de codes à usage unique, de notifications push, de données biométriques d'utilisateurs (par exemple, empreintes digitales ou reconnaissance faciale), de clés de sécurité ou d'autres méthodes permettant de vérifier l'identité de l'utilisateur et de l'appareil.
La surveillance et la validation continues : les utilisateurs et les appareils doivent être réauthentifiés en permanence, ce qui complique la tâche d'acteurs malveillants essayant d'obtenir un accès constant à un réseau – même s'ils utilisent des informations d'identification volées.
L'accès au moindre privilège : les utilisateurs ont uniquement accès aux ressources dont ils ont besoin, plutôt qu'à l'ensemble du réseau.
Le contrôle des accès par les appareils : les appareils qui se connectent au réseau doivent être autorisés et surveillés, afin de détecter tout signe d'activité suspecte.
La prévention des mouvements latéraux : la micro-segmentation permet d'empêcher les mouvements latéraux en limitant l'accès à des zones spécifiques du réseau.
Avec une stratégie Zero Trust, les chances de succès d'attaques basées sur la MFA sont bien moindres. Même si un acteur malveillant parvient à accéder à un compte d'utilisateur, il ne bénéficiera pas d'un accès illimité à l'ensemble du réseau et ne pourra pas se déplacer latéralement sans devoir continuellement réauthentifier l'identité de l'utilisateur et de l'appareil.
Évitez les attaques basées sur la MFA avec Cloudflare
Cloudflare Zero Trust aide à protéger les réseaux d'entreprise et les utilisateurs contre les cyberattaques sophistiquées, même celles qui tentent d'exploiter les mesures de MFA. La plateforme Zero Trust consolidée de Cloudflare permet aux entreprises de déployer facilement des contrôles d'accès cohérents au moindre privilège sur les applications Cloud, sur site et SaaS, empêchant ainsi les acteurs malveillants d'infiltrer les systèmes et les données sensibles et de se déplacer latéralement au sein des organisations.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment les acteurs malveillants utilisent les tactiques de phishing pour contourner la MFA
Comment la compromission de la MFA ouvre la porte au vol de données et à d'autres attaques
Les stratégies essentielles pour empêcher l'exploitation de la MFA
Ressources associées
Approfondir le sujet
La MFA est une composante cruciale d'une stratégie performante de gestion des identités et des accès. Pour découvrir comment la MFA s'intègre à un modèle de sécurité Zero Trust plus vaste, téléchargez le dossier de solution Comment une authentification forte contribue au blocage des attaques par phishing.