L’usage du MFA est-elle toujours gage de sécurité ?

08 août 2023 / Célina Barc

Par : Célina Barc

En matière de cybersécurité, l’un des principaux maillons faibles reste toujours le même : la compromission des informations d’identification des comptes utilisateur. Pour limiter considérablement les risques, les entreprises sont de plus en plus nombreuses à déployer des solutions de double authentification ou MFA.

A l’occasion de la journée mondiale du mot de passe, le 4 mai dernier, les médias ont publié la liste des mots de passe les plus utilisés. 123 456, 123 456 789, azerty, 1 234 561 et azerty sont les plus répandus. Année après année, cette liste reste la même.

Cette constance représente une terrible menace pour les entreprises. Pour deux raisons principales. Premièrement, ces mots de passe n’apportent aucune sécurité, car ils peuvent être facilement devinés. Deuxièmement, de nombreux utilisateurs les reproduisent pour plusieurs de leurs comptes.

Selon le rapport « 2022 US Password Practices Report » du gestionnaire de mots de passe Keeper, 56 % des personnes interrogées ont révélé qu’elles utilisaient le même mot de passe pour plusieurs comptes. Si des cybercriminels découvrent vos mots de passe en double, il leur sera plus facile d’accéder à plusieurs de vos comptes.

Découvrir des mots de passe très basiques est à la portée de tous. Et leur découverte s’avère encore plus simple lorsqu’ils sont collés sur le bord de l’écran d’un ordinateur portable ou placés dans le tiroir d’un bureau. Les campagnes de phishing sont également très utilisées par les personnes malveillantes pour récupérer des accès à des comptes en ligne et en particulier ceux de Microsoft 365.

Teams : une cible prioritaire pour les pirates

La compromission de ces identifiants permet à un attaquant d’infiltrer un réseau informatique, d’accéder à des données sensibles stockées dans le cloud ou d’accéder à des comptes en lignes comme ceux de Microsoft.

Selon une récente étude de Proofpoint, Teams est devenu l’une des dix applications les plus ciblées par les cybercriminels. Parmi les entreprises visées, 40 % d’entre elles ont déjà connu au moins une tentative de connexion non autorisée sur cette solution de visioconférence entre juin et décembre 2022.

Malgré le développement de gestionnaires de mots de passe qui ne sont pas très compliqués à utiliser et assurent un niveau élevé de sécurité, la gestion des accès représente encore un défi pour de nombreuses entreprises.

Pour compliquer la tâche des pirates, de plus en plus d’organisations ont décidé d’adopter l’authentification multifactorielle (ou MFA - Multifactor Authentication). L’authentification multifactorielle est une approche stratifiée de la sécurisation des données et des applications.

Un utilisateur doit en effet présenter une combinaison d’au moins deux références pour vérifier son identité lors de la connexion. La MFA renforce la sécurité, car même si l’un des justificatifs est compromis, les utilisateurs non autorisés ne pourront pas satisfaire à la seconde exigence d’authentification et ne pourront pas accéder à la cible.

MFA

Il existe différentes solutions de MFA, mais le service DUO proposé par Blue est la solution qui offre le plus d’options d’authentification au monde : notification push sur mobile ou tablette, Clé U2F, code logiciel sur mobile, SMS, reconnaissance biométrique…

En complétement de cette offre, Blue vous propose des services de téléphonie mobile pour les entreprises.

Quels sont les avantages de la mise en œuvre du MFA ?

Un niveau de sécurité supplémentaire des comptes

Même si des cybercriminels parviennent à accéder aux informations d’identification d’un utilisateur, ils doivent toujours recourir à une seconde méthode pour confirmer leur identité. Plus il y a de méthodes d’autorisation, plus les comptes sont sécurisés.

Un meilleur contrôle de l’accès à vos fichiers

L’authentification multifactorielle permet à une entreprise de contrôler précisément qui a ou n’a pas accès aux données sensibles. L’utilisation de la MFA garantit que seuls les collaborateurs pouvant accéder à des informations particulières sont ceux qui sont autorisés à le faire. Cette solution, dite du « moindre privilège », est particulièrement bénéfique pour les organisations qui partagent des informations avec des tiers.

Une meilleure sécurité du télétravail

Les cybercriminels tentent souvent d’intercepter et d’accéder à un système lorsqu’un salarié travaille à distance. Couplée à l’authentification adaptative, qui confirme l’identité de l’utilisateur en examinant une variété d’informations (localisation, type d’appareil, etc.), la MFA limite les risques de compromission de ces postes de travail.

Le respect de la conformité réglementaire

La double authentification garantit un meilleur contrôle des accès aux données sensibles, et en particulier à celles présentant un caractère personnel (RGPD).

Mais la MFA est-elle la solution miracle à tous les… maux ? Comme toute solution, elle ne peut garantir un risque zéro. La double authentification n’échappe pas à cette règle. Les pirates utilisent de plus en plus souvent des attaques d’ingénierie sociale pour accéder aux informations d’identification des entreprises et pénétrer dans les réseaux.

Play Video

Lassitude

L’une des composantes de ces attaques, qui gagne en popularité avec l’essor de l’authentification multifactorielle, est une technique appelée "fatigue de l’authentification multifactorielle".

Elle consiste à spammer un employé. Un cyberattaquant exécute un script qui tente de se connecter à l’aide d’informations d’identification volées, à plusieurs reprises. D’où un flux incessant de demandes MFA push envoyées à l’appareil mobile de l’utilisateur du compte.

L’objectif est de créer un sentiment de "lassitude" à l’égard de ces demandes de MFA pour que l’utilisateur approuve la demande par le biais de son application d’authentification. Dans de nombreux cas, les acteurs de la menace contactent même la cible par e-mail, par des plateformes de messagerie ou par téléphone, en se faisant passer pour un support informatique afin de convaincre l’utilisateur d’accepter l’invitation MFA.

Une technique simple, mais efficace qui a été exploitée notamment par les groupes de cybercriminels Lapsus $ et Yanluowang pour infiltrer de grandes organisations comme Microsoft, Cisco et Uber.

Comment réagir efficacement ? Il ne faut bien sûr pas approuver la demande MFA et ne pas parler avec des personnes inconnues qui prétendent être de votre service informatique ou de l’équipe de sécurité informatique.

Il convient de contacter les administrateurs informatiques connus de l’entreprise et de leur expliquer que votre compte a peut-être été compromis et qu’il fait l’objet d’une attaque. L’étape suivante consistera à modifier le mot de passe du compte pour empêcher le pirate de continuer à se connecter et de générer d’autres notifications push MFA.

En conclusion, la MFA est une technique indispensable pour renforcer la confidentialité des données. Mais comme toute solution, elle ne doit pas être considérée comme la panacée. Les utilisateurs doivent toujours rester vigilants.

Bio de l'auteur

Célina de Blue

Cheffe de projet digital chez Blue 🚀