Sécurisation des notifications push contre les attaques de la « MFA Fatigue »

Depuis longtemps maintenant, l’authentification multifacteur (MFA) est considérée comme la méthode la plus efficace pour les organisations de réduire le risque en cas de piratage de mot de passe.

Lorsqu’elle est correctement implémentée, la MFA oppose aux attaquants un obstacle gênant ou un mur infranchissable, selon le cas. Avec la MFA, on pourrait croire que la plupart des vulnérabilités connues liées à la sécurité des mots de passe s’évaporent.

La réalité est plus nuancée. La MFA se décline en une série de technologies bien distinctes. Même si elles sont basées sur le même principe, leur niveau de sécurité et leur facilité d’utilisation varient d’une solution à l’autre. Dans tous les cas, n’importe quelle méthode de MFA est préférable à l’absence totale de MFA. Pour autant, cela ne veut pas dire que toutes les solutions offrent le même niveau de sécurité en conditions réelles.

Les cybercriminels cherchent en permanence de nouveaux moyens de défaire la MFA, et ils y parviennent de plus en plus souvent. Par exemple, l’envoi de mots de passe à usage unique (OTP) par SMS n’est plus considéré comme une méthode fiable et sécurisée, et même certaines applications d’authentification sur smartphone se sont avérées vulnérables dans certaines circonstances.

Récemment, des acteurs malveillants ont commencé à s’en prendre à une autre technologie de MFA populaire : les notifications push.

Anatomie d’une attaque d’accoutumance à la MFA

En pratique, les solutions push demandent à l’utilisateur de confirmer l’authenticité d’une tentative de connexion en envoyant une notification unique sur son smartphone. Il lui suffit de répondre par oui ou par non. Le principe est simple : si la tentative d’accès est malveillante, l’utilisateur véritable refuse la demande de connexion.

Malheureusement, les attaquants ont compris la faiblesse de ce système. Après s’être connecté à l’aide d’identifiants volés, il leur suffit pour contourner la MFA de convaincre l’utilisateur véritable d’appuyer sur « oui ». Concrètement, la plupart des utilisateurs restent suspects et refusent les demandes non sollicitées. Néanmoins, une minuscule proportion d’entre eux, peut-être 1 % selon Microsoft (en anglais), approuvera la notification la première fois. Une proportion légèrement plus élevée se contente d’ignorer la notification. Dans ce cas, les attaquants relancent de nouvelles tentatives sans relâche et bombardent l’utilisateur de notifications, dans l’espoir qu’une d’entre elles sera acceptée sans y prêter attention.

Cette technique, nommée accoutumance à la MFA, aussi connu comme la « MFA fatigue », est observée depuis 2021 dans un nombre croissant d’incidents touchant des entreprises comme Uber, Cisco ou les utilisateurs de Microsoft 365 (tous en anglais). Par ailleurs, les attaquants ont également affiné le mode opératoire de l’ingénierie sociale au cœur des attaques d’accoutumance à la MFA. Par exemple, certains se font passer pour un service d’assistance informatique et téléphonent aux utilisateurs ciblés pour les convaincre d’accepter une notification push.

Peut-on stopper les attaques de la « MFA fatigue » ?

Lorsqu’on examine ces incidents de plus près, on constate que la vulnérabilité exploitée n’est pas le recours aux notifications push, mais plutôt leur implémentation. Ces problèmes peuvent être atténués de différentes façons :

  • Limiter la fréquence des notifications push pouvant être envoyées : Cette mesure est simple à mettre en œuvre et efficace. Néanmoins, elle n’empêche pas que l’attaquant ait recours à l’ingénierie sociale pour tromper sa cible, par exemple en lui téléphonant.
  • Utiliser la correspondance de numéros : Cette méthode envoie une requête au smartphone désigné par l’utilisateur en lui demandant de saisir un code affiché sur l’écran de connexion. L’attaquant voit ce numéro, mais pas l’utilisateur authentique (qui n’est pas à l’origine de la tentative de connexion). Microsoft, notamment, déploie actuellement cette fonctionnalité dans son application d’authentification.
  • Ajouter des informations contextuelles à la notification push : L’ajout d’informations complémentaires, comme l’emplacement géographique, le type de machine et l’heure de connexion, facilite la détection des tentatives de connexions indésirables.
  • Utiliser différentes méthodes de MFA pour différents types d’utilisateurs : Par exemple, il est possible de choisir des jetons physiques pour les utilisateurs privilégiés, tandis que les utilisateurs standard conservent les notifications push.
  • Former les utilisateurs: Bien entendu, il reste vital de bien former les utilisateurs pour les aider à identifier les attaques d’accoutumance à la MFA. Ils doivent faire preuve de méfiance lorsqu’ils sont confrontés à des demandes d’authentification répétées. Oui, c’est vraiment un conseil de base (nous sommes au courant !) Toutefois, un facteur décisif de la réussite des attaques d’accoutumance à la MFA réside dans le fait que beaucoup d’utilisateurs ignorent leur existence.
  • Enquêter sur les notifications push refusées: Donnez aux utilisateurs un moyen de signaler les demandes indésirables (les notifications push refusées pourraient constituer une preuve de vol d’identifiants).

Comme avec n’importe quelle forme de MFA, l’authentification par notification push cherche toujours à trouver le bon équilibre entre sécurité et facilité d’utilisation.

Où se trouve le point d’équilibre ?

Si vous ajoutez trop de contrôles pour éviter tout abus des notifications push, vous risquez de créer un surplus de travail pour l’utilisateur. Après tout, on utilise généralement les notifications push parce qu’elles constituent une méthode de MFA moins gênante.

Alors, où se trouve le point d’équilibre ?

La réponse est certainement propre à chaque entreprise. Lorsqu’elles décident de proposer les notifications push à leurs utilisateurs, les équipes IT doivent tenir compte du type d’utilisateur (sur site ou hors site, par exemple) et de plusieurs autres paramètres. Par exemple, elles peuvent décider que les utilisateurs administrateur utiliseront des jetons physiques de type YubiKey ou Token2, tout en déployant la MFA par notification push pour les utilisateurs standard.

Sécuriser les notifications push

Plus les solutions de MFA par notification push (comme celle proposée par Userlock) permettent de personnaliser les notifications, plus il est facile pour les entreprises de trouver le bon équilibre entre sécurité et convivialité.

Si les notifications push ont gagné en popularité, c’est parce qu’elles sont extrêmement faciles à utiliser. Un simple appui sur l’écran suffit à l’utilisateur pour accepter ou refuser une demande d’authentification. Mais c’est cette même simplicité et cette rapidité d’utilisation qui sont aujourd’hui exploitées par les attaquants pour tromper les utilisateurs en les bombardant de demandes non sollicitées.

On retrouve dans ce mode opératoire les méthodes utilisées pour contourner d’autres formes de MFA, comme l’envoi de mots de passe uniques par SMS. En réalité, même si n’importe quelle méthode de MFA reste préférable à l’absence totale de MFA, aucune méthode d’authentification multifacteur ne doit être considérée comme totalement inviolable.

Une bonne nouvelle cependant : à la différence des mots de passe à usage unique envoyés par SMS, les vulnérabilités exploitées par les attaques par notifications push peuvent être atténuées. Pour cela, il convient principalement de mettre en œuvre des contrôles plus granulaires : limiter la fréquence d’envoi, ajouter des informations aux notifications, ou encore former les utilisateurs à se méfier des notifications abusives.

  • Cet article est proposé par notre partenaire.
Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.