La mise en œuvre de l'authentification multifacteur (MFA) est une excellente stratégie pour renforcer la sécurité de vos comptes en ligne, mais des attaques de phishing sophistiquées peuvent contourner la MFA. Pensez donc à adopter une méthode MFA solide et résistante au phishing pour lutter contre les campagnes de phishing modernes.
Comment la MFA traditionnelle est-elle sensible aux attaques de phishing? Qu'est-ce qu'une solution MFA résistante au phishing et comment peut-elle prévenir les attaques de phishing ?
Qu'est-ce que l'authentification multifacteur?
Comme le terme l'indique, l'authentification multifacteur vous oblige à présenter deux ou plusieurs facteurs de vérification pour accéder à vos comptes.
Un facteur dans un processus d'authentification est un moyen de vérifier votre identité lorsque vous essayez de vous connecter.
Les facteurs les plus courants sont :
- Quelque chose que vous savez : un mot de passe ou un code PIN dont vous vous souvenez
- Quelque chose que vous avez : une clé USB sécurisée ou un smartphone que vous possédez
- Quelque chose que tu es : votre reconnaissance faciale ou votre empreinte digitale
L'authentification multifacteur ajoute des couches de sécurité supplémentaires à vos comptes. C'est comme ajouter une deuxième ou une troisième serrure à votre casier.
Dans un processus d'authentification multifacteur typique, vous devez d'abord saisir votre mot de passe ou votre code PIN. Ensuite, vous pouvez recevoir le deuxième facteur sur votre smartphone. Ce deuxième facteur peut être un SMS ou une notification sur une application d'authentification. En fonction de vos paramètres MFA, vous devrez peut-être vérifier votre identité par biométrie.
Il y a de nombreuses raisons d'utiliser l'authentification multifacteur, mais pouvez-vous complètement résister au phishing ?
Malheureusement, la réponse est non."
Cybermenaces pour l'authentification multifacteur
Bien que les méthodes MFA soient plus sûres que les méthodes d'authentification à facteur unique, les pirates peuvent les exploiter à l'aide de diverses techniques.
Voici comment les pirates peuvent contourner MFA.
Attaques par force brute
Si les pirates ont vos identifiants de connexion et que vous avez défini un code PIN à 4 chiffres à utiliser comme deuxième facteur, ils peuvent effectuer des attaques par force brute pour deviner la broche de sécurité afin de contourner plusieurs facteurs authentification.
Piratage SIM
De nos jours, les pirates utilisent des techniques telles que l'échange de carte SIM, le clonage de carte SIM et le jacking de carte SIM pour pirater votre carte SIM. Et une fois qu'ils ont le contrôle de votre carte SIM, ils peuvent facilement intercepter le deuxième facteur basé sur les SMS, compromettant ainsi votre mécanisme MFA.
Attaques de fatigue MFA
Dans un Attaque de fatigue MFA, un pirate informatique vous bombarde d'un déluge de notifications push jusqu'à ce que vous cédiez. Une fois que vous avez approuvé la demande de connexion, le pirate peut accéder à votre compte.
Adversaire dans les attaques moyennes
Les pirates peuvent utiliser des frameworks AiTM comme Evilginx pour intercepter à la fois les identifiants de connexion et le deuxième jeton de facteur. Ensuite, ils peuvent se connecter à votre compte et faire tout ce qui leur plaît.
Attaques Pass-the-Cookie
Une fois que vous avez terminé le processus d'authentification multifacteur, un cookie de navigateur est créé et conservé pour votre session. Les pirates peuvent extraire ce cookie et l'utiliser pour démarrer une session dans un autre navigateur sur un système différent.
Hameçonnage
L'hameçonnage, l'un des plus tactiques courantes d'ingénierie sociale, est souvent utilisé pour accéder au deuxième facteur lorsque l'auteur de la menace dispose déjà de votre nom d'utilisateur et de votre mot de passe.
Par exemple, vous utilisez un fournisseur de logiciel en tant que service (SaaS) et vos identifiants de connexion sont compromis. Un pirate vous appellera (ou vous enverra un e-mail) en se faisant passer pour votre fournisseur SaaS pour demander le deuxième facteur de vérification. Une fois que vous avez partagé le code de vérification, le pirate peut accéder à votre compte. Et ils peuvent voler ou crypter des données vous concernant, vous et votre fournisseur.
De nos jours, les pirates emploient techniques de phishing avancées. Faites donc attention aux attaques de phishing.
Qu'est-ce que l'authentification MFA résistante au phishing?
La MFA résistante au phishing est insensible à toutes sortes d'ingénierie sociale, y compris les attaques de phishing, les attaques de credential stuffing, les attaques Man-in-the-Middle, et plus encore.
Comme les humains sont au centre des attaques d'ingénierie sociale, la MFA résistante au phishing supprime l'élément humain du processus d'authentification.
Pour être considéré comme un mécanisme MFA résistant au phishing, l'authentificateur doit être cryptographiquement lié au domaine. Et il devrait reconnaître un faux domaine créé par un pirate.
Voici comment fonctionne la technologie MFA résistante au phishing.
Créer une liaison forte
En plus d'enregistrer votre authentificateur, vous effectuerez un enregistrement cryptographique, y compris la vérification d'identité, pour créer une liaison solide entre votre authentificateur et votre identité fournisseur (IDP). Cela permettra à votre authentificateur d'identifier les faux sites Web.
Utiliser la cryptographie asymétrique
Une liaison solide de deux parties basée sur la cryptographie asymétrique (cryptographie à clé publique) élimine le besoin de secrets partagés comme les mots de passe.
Pour démarrer les sessions, les deux clés (clés publiques et clés privées) seront nécessaires. Les pirates ne peuvent pas s'authentifier pour se connecter car les clés privées seront stockées en toute sécurité dans des clés de sécurité matérielles.
Répondre uniquement aux demandes d'authentification valides
Le MFA résistant au phishing ne répond qu'aux requêtes valides. Toutes les tentatives usurpant l'identité de demandes légitimes seront contrecarrées.
Vérifier l'intention
L'authentification MFA résistante au phishing doit valider l'intention de l'utilisateur en invitant l'utilisateur à effectuer une action qui indique l'implication active de l'utilisateur pour authentifier la demande de connexion.
Pourquoi devriez-vous implémenter une MFA résistante au phishing?
L'adoption d'une MFA résistante au phishing offre de multiples avantages. Il élimine l'élément humain de l'équation. Comme le système peut détecter automatiquement un faux site Web ou une demande d'authentification non autorisée, il peut empêcher tous les types d'attaques de phishing visant à inciter les utilisateurs à donner des identifiants de connexion. Par conséquent, une MFA résistante au phishing peut empêcher les violations de données dans votre entreprise.
De plus, un bon MFA résistant au phishing, comme la dernière méthode d'authentification FIDO2, améliore l'expérience utilisateur. En effet, vous pouvez utiliser la biométrie ou des clés de sécurité faciles à mettre en œuvre pour accéder à vos comptes.
Enfin, le MFA résistant au phishing renforce la sécurité de vos comptes et appareils, améliorant ainsi pâturage de cybersécurité dans votre entreprise.
Le Bureau américain de la gestion et du budget (OMB) a publié le Document sur la stratégie fédérale de confiance zéro, qui oblige les agences fédérales à n'utiliser que l'authentification MFA résistante au phishing d'ici la fin de 2024.
Vous pouvez donc comprendre que la MFA résistante au phishing est essentielle pour la cybersécurité.
Comment mettre en œuvre une MFA résistante au phishing
Selon le Rapport sur l'état de l'identité sécurisée préparées par l'équipe Auth0 d'Okta, les attaques de contournement MFA sont en augmentation.
Le phishing étant le principal vecteur d'attaque dans les attaques basées sur l'identité, la mise en œuvre d'une authentification multifacteur résistante au phishing peut vous aider à sécuriser vos comptes.
L'authentification FIDO2/WebAuthn est une méthode d'authentification anti-hameçonnage largement utilisée. Il vous permet d'utiliser des appareils courants pour vous authentifier dans des environnements mobiles et de bureau.
L'authentification FIDO2 offre une sécurité renforcée grâce à des identifiants de connexion cryptographiques uniques à chaque site Web. Et les identifiants de connexion ne quittent jamais votre appareil.
De plus, vous pouvez utiliser les fonctionnalités intégrées de votre appareil, telles qu'un lecteur d'empreintes digitales pour débloquer les identifiants de connexion cryptographiques.
Tu peux vérifier les produits FIDO2 pour sélectionner le bon produit pour mettre en œuvre une MFA résistante au phishing.
Une autre façon de mettre en œuvre une MFA résistante au phishing consiste à utiliser des solutions basées sur une infrastructure à clé publique (PKI). Les cartes à puce PIV, les cartes de crédit et les passeports électroniques utilisent cette technologie basée sur PKI.
L'AMF résistant au phishing est l'avenir
Les attaques de phishing se multiplient et la mise en œuvre des méthodes d'authentification multi-facteurs traditionnelles n'offre pas de protection contre les campagnes de phishing sophistiquées. Implémentez donc une MFA résistante au phishing pour empêcher les pirates de prendre le contrôle de vos comptes.