Sécurisation des notifications push contre les attaques de la « MFA Fatigue »

Depuis longtemps maintenant, l’authentification multifacteur (MFA) est considérée comme la méthode la plus efficace pour les organisations de réduire le risque en cas de piratage de mot de passe.

Lorsqu’elle est correctement implémentée, la MFA oppose aux attaquants un obstacle gênant ou un mur infranchissable, selon le cas. Avec la MFA, on pourrait croire que la plupart des vulnérabilités connues liées à la sécurité des mots de passe s’évaporent.

La réalité est plus nuancée. La MFA se décline en une série de technologies bien distinctes. Même si elles sont basées sur le même principe, leur niveau de sécurité et leur facilité d’utilisation varient d’une solution à l’autre. Dans tous les cas, n’importe quelle méthode de MFA est préférable à l’absence totale de MFA. Pour autant, cela ne veut pas dire que toutes les solutions offrent le même niveau de sécurité en conditions réelles.

Les cybercriminels cherchent en permanence de nouveaux moyens de défaire la MFA, et ils y parviennent de plus en plus souvent. Par exemple, l’envoi de mots de passe à usage unique (OTP) par SMS n’est plus considéré comme une méthode fiable et sécurisée, et même certaines applications d’authentification sur smartphone se sont avérées vulnérables dans certaines circonstances.

Récemment, des acteurs malveillants ont commencé à s’en prendre à une autre technologie de MFA populaire : les notifications push.

Anatomie d’une attaque d’accoutumance à la MFA

En pratique, les solutions push demandent à l’utilisateur de confirmer l’authenticité d’une tentative de connexion en envoyant une notification unique sur son smartphone. Il lui suffit de répondre par oui ou par non. Le principe est simple : si la tentative d’accès est malveillante, l’utilisateur véritable refuse la demande de connexion.

Malheureusement, les attaquants ont compris la faiblesse de ce système. Après s’être connecté à l’aide d’identifiants volés, il leur suffit pour contourner la MFA de convaincre l’utilisateur véritable d’appuyer sur « oui ». Concrètement, la plupart des utilisateurs restent suspects et refusent les demandes non sollicitées. Néanmoins, une minuscule proportion d’entre eux, peut-être 1 % selon Microsoft (en anglais), approuvera la notification la première fois. Une proportion légèrement plus élevée se contente d’ignorer la notification. Dans ce cas, les attaquants relancent de nouvelles tentatives sans relâche et bombardent l’utilisateur de notifications, dans l’espoir qu’une d’entre elles sera acceptée sans y prêter attention.

Cette technique, nommée accoutumance à la MFA, aussi connu comme la « MFA fatigue », est observée depuis 2021 dans un nombre croissant d’incidents touchant des entreprises comme Uber, Cisco ou les utilisateurs de Microsoft 365 (tous en anglais). Par ailleurs, les attaquants ont également affiné le mode opératoire de l’ingénierie sociale au cœur des attaques d’accoutumance à la MFA. Par exemple, certains se font passer pour un service d’assistance informatique et téléphonent aux utilisateurs ciblés pour les convaincre d’accepter une notification push.

Peut-on stopper les attaques de la « MFA fatigue » ?

Lorsqu’on examine ces incidents de plus près, on constate que la vulnérabilité exploitée n’est pas le recours aux notifications push, mais plutôt leur implémentation. Ces problèmes peuvent être atténués de différentes façons :

• Limiter la fréquence des notifications push pouvant être envoyées : Cette mesure est simple à mettre en œuvre et efficace. Néanmoins, elle n’empêche pas que l’attaquant ait recours à l’ingénierie sociale pour tromper sa cible, par exemple en lui téléphonant.

• Utiliser la correspondance de numéros : Cette méthode envoie une requête au smartphone désigné par l’utilisateur en lui demandant de saisir un code affiché sur l’écran de connexion. L’attaquant voit ce numéro, mais pas l’utilisateur authentique (qui n’est pas à l’origine de la tentative de connexion). Microsoft, notamment, déploie actuellement cette fonctionnalité dans son application d’authentification.

• Ajouter des informations contextuelles à la notification push : L’ajout d’informations complémentaires, comme l’emplacement géographique, le type de machine et l’heure de connexion, facilite la détection des tentatives de connexions indésirables.

• Utiliser différentes méthodes de MFA pour différents types d’utilisateurs : Par exemple, il est possible de choisir des jetons physiques pour les utilisateurs privilégiés, tandis que les utilisateurs standard conservent les notifications push.

• Former les utilisateurs: Bien entendu, il reste vital de bien former les utilisateurs pour les aider à identifier les attaques d’accoutumance à la MFA. Ils doivent faire preuve de méfiance lorsqu’ils sont confrontés à des demandes d’authentification répétées. Oui, c’est vraiment un conseil de base (nous sommes au courant !) Toutefois, un facteur décisif de la réussite des attaques d’accoutumance à la MFA réside dans le fait que beaucoup d’utilisateurs ignorent leur existence.

• Enquêter sur les notifications push refusées: Donnez aux utilisateurs un moyen de signaler les demandes indésirables (les notifications push refusées pourraient constituer une preuve de vol d’identifiants).

Comme avec n’importe quelle forme de MFA, l’authentification par notification push cherche toujours à trouver le bon équilibre entre sécurité et facilité d’utilisation.

Où se trouve le point d’équilibre ?

Si vous ajoutez trop de contrôles pour éviter tout abus des notifications push, vous risquez de créer un surplus de travail pour l’utilisateur. Après tout, on utilise généralement les notifications push parce qu’elles constituent une méthode de MFA moins gênante.

Alors, où se trouve le point d’équilibre ?

La réponse est certainement propre à chaque entreprise. Lorsqu’elles décident de proposer les notifications push à leurs utilisateurs, les équipes IT doivent tenir compte du type d’utilisateur (sur site ou hors site, par exemple) et de plusieurs autres paramètres. Par exemple, elles peuvent décider que les utilisateurs administrateur utiliseront des jetons physiques de type YubiKey ou Token2, tout en déployant la MFA par notification push pour les utilisateurs standard.

Sécuriser les notifications push

Plus les solutions de MFA par notification push (comme celle proposée par Userlock) permettent de personnaliser les notifications, plus il est facile pour les entreprises de trouver le bon équilibre entre sécurité et convivialité.

Si les notifications push ont gagné en popularité, c’est parce qu’elles sont extrêmement faciles à utiliser. Un simple appui sur l’écran suffit à l’utilisateur pour accepter ou refuser une demande d’authentification. Mais c’est cette même simplicité et cette rapidité d’utilisation qui sont aujourd’hui exploitées par les attaquants pour tromper les utilisateurs en les bombardant de demandes non sollicitées.

On retrouve dans ce mode opératoire les méthodes utilisées pour contourner d’autres formes de MFA, comme l’envoi de mots de passe uniques par SMS. En réalité, même si n’importe quelle méthode de MFA reste préférable à l’absence totale de MFA, aucune méthode d’authentification multifacteur ne doit être considérée comme totalement inviolable.

Une bonne nouvelle cependant : à la différence des mots de passe à usage unique envoyés par SMS, les vulnérabilités exploitées par les attaques par notifications push peuvent être atténuées. Pour cela, il convient principalement de mettre en œuvre des contrôles plus granulaires : limiter la fréquence d’envoi, ajouter des informations aux notifications, ou encore former les utilisateurs à se méfier des notifications abusives.

• Cet article est proposé par notre partenaire.