L'authentification à plusieurs facteurs (MFA), qui consiste en l'utilisation d'un jeton secondaire ou d'un code à usage unique pour garantir l'identité de l'individu qui veut un accès à un compte, constitue une couche de défense supplémentaire dans la protection d'un compte. Toutefois, le FBI (Federal Bureau of Investigation) des États-Unis a envoyé le mois dernier un avis de sécurité aux partenaires du secteur privé concernant la menace croissante d'attaques contre des organisations et leurs employés, susceptibles de contourner les solutions d'authentification à plusieurs facteurs (MFA) : « Le FBI a observé des cyberacteurs contournant l'authentification multifactorielle par des attaques d'ingénierie sociale et techniques communes », a indiqué l'agence dans un PIN (Private Industry Notification) envoyé le 17 septembre.Il faut dire que les attaques réussies face à une authentification multifacteurs ne sont pas légions. Selon Microsoft, l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes. Dans un billet de blog, Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft, les utilisateurs qui activent l'authentification multifacteur (MFA) pour leurs comptes vont bloquer 99,9% des attaques automatisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1% représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.
« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.
« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».
Malgré cela, l'utilisation de la MFA n'est pas répandue, Microsoft estime que « moins de 10% des utilisateurs par mois » utilisent la MFA pour leurs comptes d'entreprise.
Toutefois, selon le FBI, cette utilisation de jetons secondaires ou de codes uniques pour sauvegarder les noms d’utilisateur et les mots de passe n’est pas toujours suffisante. À moins que les entreprises n’utilisent des « informations biométriques ou comportementales, telles que l’heure, la géolocalisation ou l’adresse IP », il existe un risque qu’une attaque puisse amener un utilisateur à divulguer un code d’authentification à plusieurs facteurs ou utiliser une interception technique pour en créer un.
Et c’est cette sophistication croissante de la manipulation des employés, appelée ingénierie sociale, qui a déclenché l’avertissement. En septembre, Proofpoint a clairement averti que l'ingénierie sociale devenait incontrôlable, les criminels exploitant « des interactions humaines plutôt que des exploits automatisés pour installer des logiciels malveillants, lancer des transactions frauduleuses, voler des données et se livrer à d'autres activités malveillantes ».
Selon les recherches, 99% des cyberattaques reposent désormais sur une personne qui fait une action : cliquer sur un lien, ouvrir une pièce jointe, se laisser prendre à une arnaque. « Les instincts de curiosité et de confiance », explique Proofpoint, « incitent les personnes bien intentionnées à cliquer, télécharger, installer, ouvrir et envoyer de l’argent ou des données - au lieu d’attaquer les systèmes et les infrastructures, les acteurs malveillants se concentrent sur les individus, leurs rôles dans l'organisation, les données auxquelles ils ont accès et leur probabilité de "cliquer ici" ».
Quelques exemples donnés par le FBI
Dans sa notification au secteur privé, le FBI a présenté des exemples d’outils et de techniques utilisés pour vaincre la MFA, notamment des piratages Web, des outils de cyberattaque, tels que Muraen et NecroBrowser, et l’échange simple de cartes SIM. Il semble que le problème avec MFA est que c'est un réconfort trompeur pour l'institution elle-même. Une fois déployée, un utilisateur aura probablement plus de privilèges qu’il n'aurait eus sans cela :
[LIST][*]en 2019, un cyberattaquant a pris pour cible une institution bancaire américaine qui a su tirer parti d’une faille dans le site Web de la banque pour contourner l’authentification à deux facteurs mise en place pour protéger les comptes. Le cyberattaquant s'est connecté avec les identifiants de victime volés et, lorsqu'il a atteint la page secondaire où le client devrait normalement entrer un code confidentiel et répondre à une question de sécurité, il a saisi une chaîne manipulée dans l'URL Web, définissant ainsi son ordinateur comme étant reconnu pour avoir déjà été utilisé pour ouvrir le compte. Cela lui a permis de contourner les pages de code confidentiel et de questions de sécurité et d'initier des virements électroniques des comptes des victimes ;[*]en 2016, les clients d'une institution bancaire américaine ont été ciblés par un cyberattaquant qui a transféré leurs numéros de téléphone sur un téléphone qu'il possédait, une attaque appelée échange de carte SIM. L’agresseur a appelé les représentants du service clientèle des compagnies de téléphone pour trouver ceux qui étaient...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
J'avoue que là, il faut faire autre chose pour sécuriser les données comme je ne vois pas quoi pour le moment. 