Microsoft renforce l’application Authenticator pour se protéger des attaques de type « MFA fatigue »

Cas d’actualité

Récemment, Uber révélait que la violation subie par l’entreprise était due à une attaque d’authentification de type « MFA fatigue » pendant laquelle le hacker s’était fait passer pour un membre de l’équipe de sécurité d’Uber.

Les attaques « MFA fatigue » sont une forme d’ingénierie sociale qui consiste à spammer une victime via des requêtes MFA répétées jusqu’à obtenir l’accès au système.

Ce type d’attaque peut uniquement avoir lieu si le hacker obtient l’accès aux identifiants de connexion d’un utilisateur, mais ne peut pas accéder au compte grâce à l’authentification multi-facteur.


Adoption de la protection MFA

Avec l’adoption croissante de l’authentification forte, les attaques de type « MFA  fatigue » sont devenues plus fréquentes. Ces attaques reposent sur la capacité de l’utilisateur à approuver une simple notification vocale, SMS ou push qui ne nécessite pas que l’utilisateur ait le contexte de la session qu’il authentifie.

Approbations simples : Chaque fois que les utilisateurs font « cliquez pour approuver » ou « entrez votre code PIN pour approuver » au lieu d’entrer un code qu’ils voient à l’écran, ils font des approbations simples.

Approbations avancées : Les utilisateurs doivent saisir une donnée à partir de l’écran de connexion et disposer de plus d’informations sur le contexte de la demande de connexion.


Constat Microsoft

Microsoft analyse ces types d’attaques dans l’environnement Microsoft 365, et le constat est qu’elles sont en hausses! Avec les notifications push, les approbations vocales et les SMS comme principaux coupables.


Solutions de renforcement mises en place par Microsoft

Comme présenté dans notre précédent article du 12 janvier 2022 sur le thème de Microsoft MFA, de nouvelles fonctionnalités de sécurisation du MFA sont disponibles pour renforcer de manière significative la sécurité des authentifications MFA.

Ces fonctionnalités répondent aux besoins des approbation de type avancées, en imposant à l’utilisateur d’indiquer une information qu’il voit sur l’écran de connexion. Mais aussi des détails sur le contexte de connexion comme le lieu géographique basé sur l’adresse IP, ou la validation de la connexion basée sur la position GPS du mobile effectuant l’approbation.

Correspondances de numéros
Contexte géographique
Accès conditionnel validé par position GPS

Une solution de protection complémentaire permettant de ne pas divulguer/utiliser son mot de passe est l’usage de la solution PasswordLess dont nous présentions les avantages dans notre article du mois dernier. Avec cette fonctionnalité, le mot de passe n’est pas utilisé, donc le hacker ne peut pas le récupérer et arriver à l’étape de validation de connexion par MFA.


Stratégie de protection et détection des utilisateurs à risque.

Si tous vos utilisateurs n’ont pas été migrés vers les solutions MFA avancées présentées ci-dessus, alors vous pouvez protéger ces utilisateurs en automatisant les demandes changements de mot de passe pour les utilisateurs détectés à risque.

Si un utilisateur avec des approbations MFA simples activées reçoit des demandes MFA répétées, cela signifie qu’un hacker possède probablement le mot de passe correct de l’utilisateur. Si cette connexion est considérée risquée (par exemple, à partir d’un emplacement inconnu) et que l’approbation sur la notification push MFA ne parvient pas à être obtenue, le niveau de risque de l’utilisateur peut être automatiquement élevé au niveau supérieur.

Dans ce cas de figure, il est possible de bloquer le compte, puis de demander à l’utilisateur de modifier son mot de passe de manière sécurisée. Un changement de mot de passe par l’utilisateur résout le risque utilisateur et empêche le mauvais acteur d’envoyer d’autres demandes MFA.


Etape suivante : Déploiement des fonctionnalités avancées d’approbation MFA.

Lors de la conférence TEC 2022, Alex Weinert, vice-président de Microsoft pour la sécurité des identités, préconisait le déploiement du MFA. Ce conseil a été suivi et aujourd’hui le MFA protège davantage de comptes d’administration, mais ce n’est pas encore suffisant.

Le MFA avec approbation avancée doit également être déployé sur une plus large population pour protéger les identités et données des entreprises sur Microsoft 365 contre les attaques de type « MFA Fatigue ».

Nos consultants experts sur Microsoft 365 sont là pour vous accompagner dans la mise œuvre de ces protections et la formation de vos utilisateurs.

0 commentaires