Ces dix dernières années, l’authentification multifacteur (MFA) s’est imposée comme une pierre angulaire de la cybersécurité moderne. Toutefois, pendant cette période où l’authentification des utilisateurs a gagné en sophistication, les cybercriminels ont eux aussi perfectionné leurs tactiques. L’essor des techniques de contournement de la MFA en est la preuve.
Malgré la capacité des cyberpirates à contourner la MFA, les croyances concernant sa quasi-perfection persistent. Une étude récente de Proofpoint révèle que la MFA était activée sur près de la moitié des comptes compromis par des cybercriminels. Pourtant, 89 % des professionnels de la sécurité considèrent que la MFA offre une protection complète contre la prise de contrôle de comptes. Il est évident qu’il existe un décalage.
C’est la raison pour laquelle une approche robuste de défense en profondeur est plus que jamais nécessaire. Une sécurité multicouche peut contribuer à réduire le contournement de la MFA et la probabilité qu’une prise de contrôle de comptes n’entraîne une compromission majeure. Dans cet article de blog, nous verrons pourquoi la MFA ne suffit pas et vous donnerons quelques conseils pour mieux protéger votre entreprise.
Techniques de contournement de la MFA
La MFA est efficace car elle exige des utilisateurs qu’ils fournissent plusieurs facteurs d’authentification. Elle combine un élément qu’ils connaissent (en général leur mot de passe) et un élément qu’ils possèdent (tel qu’une application ou un jeton d’authentification) ou qui les définit (comme leur visage). Bien que la MFA semble très sécurisée, les cybercriminels ont trouvé plusieurs moyens de la contourner. Bon nombre de ces tactiques sont très sophistiquées :
- Attaques de phishing. Lors de ces attaques, les cybercriminels incitent les utilisateurs à saisir des codes MFA ou leurs identifiants de connexion sur des sites Web sous leur contrôle.
- Attaques liées à la baisse de vigilance engendrée par la MFA. Une fois que les cyberpirates ont volé le mot de passe d’un utilisateur, ils le bombardent de notifications push de MFA. Cela peut dérouter les utilisateurs et les pousser à approuver la demande d’accès pour mettre un terme aux notifications.
- Piratage de session. Avec cette technique, les cybercriminels volent des cookies de session après l’authentification, ce qui rend caduque l’authentification précédente basée sur la MFA.
- Fraude à la carte SIM. Cette technique compromet la MFA par SMS en transférant le numéro de téléphone de la victime au cybercriminel. Pour y parvenir, le cyberpirate doit lancer une attaque d’ingénierie sociale contre l’opérateur mobile ou disposer d’un informateur au sein de l’entreprise.
- Ingénierie sociale pure. La plupart des entreprises disposent d’une méthode permettant aux collaborateurs en télétravail de réinitialiser leur mot de passe et les configurations MFA sans avoir à se présenter en personne. Cependant, en l’absence de vérification adéquate des identités en ligne, le centre d’assistance peut être ciblé par des attaques d’ingénierie sociale permettant à des cybercriminels de mettre la main sur les identifiants de connexion de collaborateurs.
- Attaques de type adversary-in-the-middle. Ces attaques utilisent des outils, tels que le kit de phishing spécialisé Evilginx, pour intercepter des jetons de session. Ceux-ci sont alors transmis à des services légitimes, qui octroient un accès aux cybercriminels.
Regardez cette démonstration d’une attaque de type adversary-in-the-middle activée par Evilginx, que Proofpoint Account Takeover Protection peut détecter et bloquer.
Pourquoi la MFA ne suffit pas
Il ne fait aucun doute que la MFA ajoute une couche précieuse de sécurité à l’authentification des utilisateurs. Elle complique également la tâche des cybercriminels qui cherchent à infiltrer des systèmes. Mais les techniques de contournement mentionnées ci-dessus montrent pourquoi il est aussi dangereux de tout miser sur un seul mécanisme de défense. La prévalence croissante des attaques fructueuses de contournement de la MFA prouve que les cybercriminels déterminés sont capables de s’adapter pour contourner les protections largement déployées.
Cela peut sembler évident, mais il est essentiel de garder en permanence à l’esprit que la MFA doit être intégrée à un programme de sécurité plus vaste. Il ne s’agit pas d’une défense incontournable. Une défense en profondeur passe par l’implémentation de couches de sécurité supplémentaires, ce qui réduit le risque de réussite de l’attaque, même en cas de compromission d’une couche.
Mise en place d’une stratégie de défense en profondeur
Une approche de défense en profondeur implique plusieurs mesures de sécurité redondantes, qui réduisent la capacité d’un cybercriminel à exploiter des vulnérabilités. Voici comment les entreprises peuvent renforcer leurs défenses contre le contournement de la MFA :
- Renforcement de la protection des endpoints. Déployez des outils de détection et de réponse aux incidents pour endpoints (EDR) afin d’identifier et de prévenir les accès non autorisés au niveau de l’hôte.
- Investissement dans des défenses contre le phishing d’identifiants de connexion. La plupart des cybercriminels préfèrent utiliser des attaques de phishing extrêmement ciblées ayant recours à l’ingénierie sociale pour cibler les identifiants de connexion de vos utilisateurs. C’est la raison pour laquelle nous continuons à investir massivement dans notre plate-forme de protection de la messagerie.
- Adoption d’une MFA résistante au phishing. Adoptez des méthodes MFA plus sécurisées, comme des clés de sécurité matérielles (FIDO2) ou des informations biométriques, qui sont moins sensibles aux attaques de phishing et de contournement de la MFA.
- Mise en place de systèmes spécialisés de protection contre la prise de contrôle de comptes. Adoptez des outils tels que Proofpoint Account Takeover Protection pour détecter, analyser et répondre automatiquement aux prises de contrôle de comptes cloud lorsqu’elles se produisent, en les bloquant avant qu’elles ne puissent causer d’importants dégâts.
- Formation des utilisateurs. Apprenez à vos utilisateurs à reconnaître les tentatives de phishing et d’autres tactiques d’ingénierie sociale qui ciblent leurs identifiants de connexion MFA. C’est un domaine dans lequel les formations de sensibilisation à la sécurité informatique de Proofpoint peuvent vous aider.
- Planification de la réponse aux incidents et de la reprise des activités. Préparez-vous aux pires scénarios possible. Assurez-vous de disposer d’un plan de réponse aux incidents bien défini, qui permet notamment de révoquer rapidement des jetons d’accès et d’enquêter sur des connexions suspectes. Proofpoint Account Takeover Protection peut également vous aider.
Le passé, le présent et l’avenir de la cybersécurité : une défense proactive et multicouche
La lutte contre les tactiques de contournement de la MFA est un bon exemple de la nature dynamique des cybermenaces actuelles. En adoptant une stratégie de défense en profondeur, vous vous assurez que même si une couche de votre sécurité échoue, d’autres peuvent absorber l’impact.
En investissant dans des mesures de sécurité complètes et proactives, vous pouvez garder une longueur d’avance sur les cybercriminels et protéger vos ressources stratégiques. La cybersécurité ne se limite pas à la construction d’un seul mur infranchissable ; elle consiste à compliquer chaque étape du parcours des cybercriminels.
Pour en savoir plus, téléchargez notre fiche technique Proofpoint Account Takeover Protection. Vous pouvez également regarder notre démonstration d’une attaque de type adversary-in-the-middle.