L’authentification multifactorielle (AMF) est devenue l’une des obligations de sécurité les plus recommandées. C’est maintenant une pierre angulaire des stratégies de cybersécurité de la plupart des entreprises, offrant une couche supplémentaire de protection au-delà des mots de passe traditionnels qui sont souvent faibles, recyclés sur plusieurs applications, sites ou systèmes, et régulièrement compromis.
Pourtant, à mesure que l’adoption de l’AMF s’est accrue, de même la sophistication des attaques visant à la contourner. Les acteurs de la menace mettent constamment au point de nouvelles méthodes pour contourner ces mesures de sécurité, ce qui présente des risques majeurs pour les organisations qu’ils sont conçues pour protéger.
Notre équipe est témoin des conséquences des cyberattaques commerciales qui se sont rendues dans leur sillage presque tous les jours. Il peut falloir d’innombrables heures et des milliers de dollars – parfois des millions – de dollars pour se redresser complètement. Malheureusement, nous assistons à une augmentation des demandes d’allégations émanant d’organisations qui croyaient qu’elles étaient protégées par des protocoles d’AMF, avant de subir une attaque de contournement.
Dans cet esprit, il est important que les entreprises comprennent à la fois les forces et les vulnérabilités de l’AMF dans le paysage actuel de la cybersécurité.
L’AMF est géniale, mais pas parfaite
L’AMF renforce la sécurité en exigeant des utilisateurs qu’ils fournissent de multiples formes de vérification – telles que PIN, code d’accès unique livré à un appareil mobile, ou données biométriques – avant d’accorder l’accès. Cette approche limite considérablement l’accès non autorisé, mais elle n’est pas invulnérable aux exploitations des acteurs de la menace.
Une méthode répandue employant des attaquants est l’attaque de phishing « atilier dans le milieu » (AitM). Dans ces scénarios, les acteurs des menaces ont mis en place des sites intermédiaires frauduleux pour intercepter les communications entre la victime et le service légitime. Ils déploient de fausses pages de connexion qui reflètent les vraies, capturant à la fois les identifiants de l’utilisateur, les cookies de session et parfois les jetons MFA de l’utilisateur. Les pirates vend même des kits prêts à l’emploi pour permettre ces attaques, comme celle-ci capable de contourner l’authentification à deux facteurs sur les comptes Google, Microsoft et Yahoo.
Une autre tactique qui gagne du terrain est la fatigue de l’AMF ou les bombardements de l’AMF. Les attaquants bombardent la cible avec des notifications push répétées du Ministère de l’enfance, dans l’espoir d’user pour approuver l’une des demandes par frustration ou par confusion. Cette méthode cible l’élément de sécurité de faiblesse humaine, qui est en fin de compte la plus grande et la moins contrôlable surface d’attaque pour toute organisation. La banque d’attaques de fatigue aura la probabilité qu’un utilisateur submergé puisse accorder par inadvertance l’accès. C’est un risque pour chaque organisation, quelle que soit sa taille.
Les clés de passe font des progrès, mais avec des limitations
En réponse aux vulnérabilités associées aux méthodes traditionnelles d’AMF, l’industrie a exploré d’autres mécanismes d’authentification. Passkeys, qui exploite les données biométriques de l’utilisateur pour soumettre des informations de chiffrement souvent stockées dans l’appareil de l’utilisateur, est apparue comme une solution prometteuse. Des entreprises comme Microsoft, Google et Apple plaident en faveur de clavettes d’accès en tant qu’alternative plus sûre et conviviale aux mots de passe. Ils offrent une sécurité plus sophistiquée, fonctionnant comme une « verrouillage et une clé ». Un site web fournit la « verrouillage » (clé publique), et l’utilisateur a une « clé privée » sur son appareil. En utilisant cette « cryptographie à clé publique », les clés de passe visent à éliminer les risques associés à la réutilisation des mots de passe et aux attaques de phishing.
Pourtant, les pointes de passe ne sont pas non plus sans défi. La confiance dans les identifiants basés sur l’appareil signifie que si un appareil est perdu, volé ou compromis, les clés d’accès stockées sur celui-ci pourraient être en danger. En outre, les attaquants sophistiqués peuvent utiliser des techniques avancées, telles que la technologie deepfake, pour usurper les données biométriques. La transition vers les clés d’accès nécessite également une adoption généralisée entre les plates-formes et les services, ce qui est un processus continu.
Solutions d’AMF résistantes au phips
Compte tenu de l’évolution du paysage des menaces, les solutions d’AMF résistantes aux chics sont plus impératives. Ces méthodes sont conçues pour résister aux attaques de phishing en connectant l’authentification à des dispositifs spécifiques et en veillant à ce que les identifiants ne puissent pas être facilement interceptés ou répliqués. Certaines configurations de touches peuvent atterrir sur ce territoire.
Une stratégie de défense à plusieurs niveaux
Bien que la mise en œuvre d’une AMF robuste et résistante au hameçon soit cruciale, elle ne devrait être qu’une partie d’une stratégie de cybersécurité à plusieurs niveaux. Au minimum, une approche plus globale devrait inclure:
Planification des interventions en cas d’incident : L’établissement et la mise à jour régulière d’un plan d’intervention en cas d’incident contribuent à aider les organisations à réagir efficacement dans des situations de stress élevé et à réduire au minimum les dommages potentiels.
Éducation continue des utilisateurs : Programmes de formation réguliers pour éduquer les employés aux nouvelles techniques de phishing et aux tactiques d’ingénierie sociale – et comment les reconnaître – afin de réduire la probabilité d’attaques réussies.
Détection avancée des menaces: Des outils de surveillance sophistiqués peuvent détecter des comportements étranges et des intrusions potentielles en temps réel, de sorte que l’organisation peut réagir rapidement aux menaces émergentes.
Évaluations régulières de la sécurité: Des audits de sécurité fréquents et des tests de pénétration aident à identifier et à remédier aux vulnérabilités avant qu’elles ne puissent être exploitées par de mauvais acteurs.
active killer Blog et Ressources combat entrainement Equipment and equipment Féménicide jiu jiutsu mma national security Occupational Health and Safety (SST) Physical agression Podcast reviews Self-Defence and Personal Security Survival and preparation training violence conjugale
Le MFA reste un élément essentiel de la cybersécurité, mais ce n’est pas un pansement. Une approche résiliente de la cybersécurité nécessite de comprendre les limites de chaque stratégie et de mettre en œuvre une position de sécurité adaptative à plusieurs niveaux. Cette approche contribue grandement à préserver votre entreprise dans un monde numérique à risque
Partagez cette Histoire
French 
English