Pour les criminels qui tentent de commettre une fraude par prise de contrôle de compte via le bourrage d'informations d'identification, l'authentification multifacteur (MFA) ajoute des obstacles, mais les attaquants ont découvert des moyens de contourner la MFA, ce qui signifie que la MFA à elle seule n'élimine pas la menace de prise de contrôle de compte. Les entreprises doivent prendre des mesures supplémentaires pour renforcer la sécurité de l’authentification multifacteur, notamment l’atténuation des robots et la surveillance des risques contextuels.
Malgré ses faiblesses, l’authentification multifacteur constitue une avancée significative, car l’authentification par mot de passe seul a clairement échoué. Nous, les humains, ne pouvons tout simplement pas nous souvenir de longues chaînes de caractères. Nous prenons donc des raccourcis, choisissons des mots de passe simples et prévisibles et réutilisons les mots de passe dans plusieurs applications, ce qui a conduit à de nombreuses failles de sécurité.
Cependant, avec l’échec des mots de passe et l’adoption de l’authentification multifacteur, nous avons constaté une augmentation des attaques contre l’authentification multifacteur telles que :
Proxies de phishing en temps réel
Lors d'une attaque par proxy de phishing en temps réel (RTPP), les fraudeurs utilisent des messages de phishing pour tromper les utilisateurs et les amener à visiter un site contrôlé par l'attaquant qui ressemble à un site de confiance, incitant l'utilisateur à saisir ses informations d'identification et à approuver la demande d'authentification à deux facteurs, qu'il s'agisse d'un message SMS ou d'une notification push. Le RTPP transmet les informations d’identification à l’application cible et obtient l’accès. Pour une démonstration de l'attaque, regardez cette vidéo du hacker et consultant en sécurité Kevin Mitnick, et pour plus d'informations sur la croissance des proxys de phishing en temps réel, consultez le rapport sur le phishing et la fraude de F5 Labs .
Attentat à la bombe contre le MFA
Dans les attaques de bombardement MFA , l'attaquant incite la cible à lui donner son code d'authentification en envoyant plusieurs demandes frauduleuses pour obtenir le code. Cela fonctionne mieux avec les applications d'authentification qui s'appuient sur les notifications push, car l'utilisateur peut très facilement arrêter le flot de demandes en appuyant sur un bouton. Les attaquants combinent parfois le bombardement MFA avec l’ingénierie sociale pour encourager les utilisateurs à accepter la notification push et à accorder l’accès.
Usurpation biométrique
Les attaquants ont même contourné l’authentification biométrique. Après tout, nous laissons nos empreintes digitales partout, sur presque toutes les surfaces lisses que nous touchons, où elles peuvent être collectées et reproduites à l’aide de n’importe quoi, depuis une imprimante 3D jusqu’aux ingrédients des oursons en gélatine . Les chercheurs en sécurité ont également démontré l’usurpation de la reconnaissance faciale et vocale ainsi que de la numérisation de l’iris . Bien que les fournisseurs aient développé des techniques anti-usurpation d'identité telles que des contrôles d'activité pour détecter les tentatives de contournement, tout appareil biométrique donné peut devenir vulnérable à mesure que les attaquants font progresser l'état de l'art.
Échange de carte SIM
L'échange de carte SIM implique que les fraudeurs exploitent la capacité des fournisseurs de services à transférer un numéro de téléphone vers un autre appareil. L'escroc recueille des informations personnelles sur la victime, puis utilise les techniques d'ingénierie sociale pour qu'une personne de soutien transfère le numéro de téléphone de la victime vers la carte SIM de l'escroc. En contrôlant le service téléphonique de la victime, le fraudeur reçoit les SMS destinés à l'utilisateur, ce qui lui permet d'intercepter les mots de passe à usage unique (OTP) et de contourner l'authentification multifacteur.
Étant donné que l’authentification multifacteur représente une amélioration significative par rapport à l’authentification par mot de passe uniquement, elle est là pour rester. Les professionnels de la cybersécurité doivent donc remédier à ses vulnérabilités.
Une bonne façon de commencer est d’atténuer les robots. En exploitant la réutilisation des mots de passe, les attaquants déploient des robots pour tester les informations d'identification volées par rapport aux connexions, une technique définie par l'OWASP comme le bourrage d'informations d'identification , qui leur permet de dépasser le premier facteur de l'authentification multifacteur. Les attaquants utilisent également des robots dans les attaques RTPP pour transmettre les OTP au site cible avant leur expiration. Le bombardement MFA est également une attaque automatisée qui dépend des robots. Grâce à une solution de gestion des robots efficace, une équipe de sécurité peut supprimer un outil essentiel sur lequel les attaquants s'appuient pour faire évoluer les techniques de contournement de l'authentification multifacteur.
Une autre façon d’atténuer les vulnérabilités de l’AMF est de prendre en compte le risque contextuel. Le risque contextuel peut être déterminé par l’adresse IP de l’utilisateur, son FAI, son emplacement, l’heure de la journée, l’appareil, la fonctionnalité utilisée et le comportement, qui peuvent tous être utilisés pour calculer un score de risque lorsqu’un utilisateur se déplace dans une application. Plus le score est élevé, plus les exigences d’authentification sont strictes, ce qui peut aboutir à la désactivation d’un compte.