On le sais, on le répète encore et encore, les méthodes d’authentification traditionnelles telles que les mots de passe et l’authentification multifacteur (MFA) de base ne suffisent plus. Les hackers sont devenus experts dans l’art de contourner ces défenses grâce à des attaques de phishing et à d’autres techniques. Cette tendance alarmante a conduit l’agence de cybersécurité américaine CISA (Cybersecurity and Infrastructure Security Agency) à plaider vigoureusement en faveur de la mise en place de MFA résistante au phishing comme ligne de défense essentielle. Contrairement aux méthodes MFA conventionnelles telles que les SMS ou les codes basés sur les e-mails, la MFA résistante au phishing utilise des mécanismes avancés tels que la gestion de clés publiques et privées et les certificats pour garantir une authentification sécurisée. Ces méthodes rendent non seulement beaucoup plus difficile pour les attaquants d’intercepter ou de répliquer les informations d’identification, mais elles protègent également contre les tactiques de plus en plus répandues telles que le credential stuffing (on y reviendra dans un prochain article) et les attaques Man In The Middle.
Un exemple notable de contournement de l’authentification multifacteur (MFA) est l’attaque survenue en 2022 contre Uber. Lors de cet incident, un membre présumé du groupe Lapsus$ a réussi à accéder aux systèmes internes d’Uber en utilisant une technique appelée « push bombing MFA ». Cette méthode consiste à bombarder l’utilisateur de multiples demandes d’authentification jusqu’à ce qu’il finisse par en accepter une, souvent par lassitude ou par erreur. Dans le cas d’Uber, l’attaquant a inondé un employé de notifications de connexion, espérant qu’il approuverait finalement l’une d’elles, ce qui a permis un accès non autorisé aux systèmes de l’entreprise.
Technologies clés permettant une MFA résistante
Au cœur de ce sujet de MFA résistante se trouvent des technologies de pointe telles que les normes FIDO (Fast Identity Online) et l’infrastructure à clé publique (PKI). L’authentification basée sur FIDO, en particulier via WebAuthn, exploite une infrastructure à clé publique et privée pour lier des informations d’identification uniques à chaque site. Cela élimine le risque de réutilisation des informations d’identification et de tentatives de phishing, car la clé privée reste stockée en toute sécurité sur l’appareil de l’utilisateur. De même, la MFA basée sur PKI utilise des certificats numériques vérifiés par des autorités de confiance, garantissant ainsi une vérification de l’identité des utilisateurs. Pour compléter ces technologies, la CISA recommande également des fonctionnalités de correspondance de numéros dans les applications d’authentification. Cette approche contrecarre les attaques de « push bombing », dans lesquelles les utilisateurs sont inondés de fausses demandes de connexion, en exigeant que les utilisateurs correspondent à un numéro affiché lors de la tentative de connexion. Ensemble, ces solutions offrent une défense complète contre les vecteurs d’attaque modernes, ce qui les rend indispensables pour les organisations traitant des informations sensibles.
Dans le cadre de FIDO2, par exemple, une clé privée est générée et stockée sur un dispositif sécurisé, comme une clé matérielle (USB, NFC ou Bluetooth) ou un module TPM (Trusted Platform Module) intégré aux appareils modernes. La clé publique, quant à elle, est enregistrée sur le serveur d’authentification. Lorsqu’un utilisateur tente de se connecter, une preuve cryptographique unique est générée à l’aide de la clé privée, garantissant que les informations ne peuvent être ni interceptées ni usurpées par un attaquant.
Pour renforcer encore davantage la sécurité, il est recommandé d’intégrer des politiques d’authentification adaptative qui analysent le contexte de connexion, comme l’adresse IP, la localisation géographique, ou le comportement habituel de l’utilisateur, afin de détecter toute anomalie. Les entreprises doivent également activer des fonctionnalités telles que le « number matching » dans les applications MFA, qui obligent l’utilisateur à entrer un code visible uniquement sur le terminal d’origine.
La transition vers une MFA résistante n’est pas seulement une mise à niveau technique mais une nécessité stratégique pour protéger les infrastructures numériques. Les organisations devraient donner la priorité à l’évaluation de leurs méthodes d’authentification actuelles et à la création d’une feuille de route pour la migration. La mise en œuvre de ces mesures peut réduire considérablement le risque d’accès non autorisé et de vol d’identifiants, qui comptent aujourd’hui parmi les principales causes de vol de données. En prenant des mesures proactives et en s’alignant sur les lignes directrices de la CISA, les organisations peuvent renforcer leur posture de cybersécurité.
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
