MFA Fatigue : une faille de sécurité qui devrait vous réveiller

Avec la généralisation du télétravail et les nouveaux usages numériques, les RSSI font face à l’accroissement de la menace des cyberattaques. Pour les contrer et protéger au mieux les accès au système d’information, tous les experts s’accordent sur la pertinence des solutions d’authentification multifacteur (MFA).

En effet, selon le dernier baromètre du CESIN, ces solutions détiennent la première place parmi les mesures de protection cyber les plus efficaces. Même constat réalisé par les experts lors du Panocrim 2023 du CLUSIF où le MFA est désigné comme « l’une des mesures de cybersécurité n°1 ».
L’ANSSI a également pris position sur le sujet en le plaçant au cœur de ses recommandations. Dans son guide des recommandations relatives à l’authentification multifacteur et aux mots de passe, l’agence souligne les limites des mots de passe et préconise les solutions MFA pour renforcer la sécurité des authentifications simples (par mot de passe) par l’ajout d’éléments supplémentaires.

Par conséquent, on assiste aujourd’hui à un véritable essor de l’authentification multifacteur au sein de nombreuses organisations souhaitant renforcer leur posture de sécurité pour s’adapter au contexte cyber. Avec un taux d’utilisation de 63% pour les utilisateurs finaux et de 71% pour les administrateurs, le déploiement est en plein boom !

Cependant, il y a toujours le revers de la médaille… face à cet engouement, le MFA est devenu une cible de choix pour les cyberattaquants, dont l’objectif est de parvenir à contourner les barrières de sécurité des organisations. C’est dans ce contexte que les attaques MFA fatigue ont fait leur apparition sur la scène cyber.

Comment fonctionne l’attaque MFA Fatigue ?

Le MFA fatigue est une cyberattaque ciblant un facteur d’authentification précis couramment employé par les solutions multifacteur et passwordless : la notification push sur mobile. La stratégie du hacker consiste à envoyer des flots de notifications incessants qui vont « épuiser » l’utilisateur, d’où l’appellation MFA fatigue. L’objectif est que l’utilisateur finisse par céder et valide l’une d’entre elles, autorisant ainsi l’accès à son compte aux cyberattaquants.

Cette attaque se base sur la pratique de l’ingénierie sociale, une technique de manipulation psychologique à des fins d’escroquerie. Les fraudeurs exploitent la faille humaine en s’attaquant à la patience de l’utilisateur à des heures tardives où le harassement peut le pousser à l’erreur.

Prenons un exemple concret : le cas de l’entreprise Uber qui a fait la une de la presse en septembre dernier. La cyberattaque a démarré lorsque l’attaquant est parvenu à se procurer le mot de passe d’un entrepreneur sous-traitant d’Uber. Il a ensuite tenté de se connecter au compte Uber du sous-traitant, déclenchant une notification de demande de validation que l’utilisateur a initialement refusée, bloquant ainsi l’accès à l’attaquant.
Cependant, ce dernier raconte qu’en plus d’avoir envoyé des notifications pendant plus d’une heure à l’utilisateur, il l’a également contacté via whatsapp en se faisant passer pour le service de sécurité Uber afin de l’inciter à accepter l’une des demandes, ce qu’il a fini par faire en toute bonne foi !
Une attaque lourde de conséquence pour Uber puisque le hacker aurait réussi à pirater des serveurs de la société de VTC, menant ainsi à une large compromission de ses systèmes internes.

Chaque méthode d’authentification peut avoir ses faiblesses

Comprendre leurs limites pour renforcer votre stratégie

Si seuls les schémas d’authentification employant les notifications push sont sensibles au MFA fatigue, il est important de souligner que toutes les méthodes d’authentification se heurtent à des limites.

Plus une technologie devient populaire et se répand au sein des organisations, plus elle est prise pour cible par les fraudeurs qui vont chercher par tous les moyens à la contourner. Qui, par exemple, n’a jamais entendu parler du SIM swap ? Ce piratage qui s’attaque à la méthode d’authentification via un code de sms en détournant l’envoi du sms vers le smartphone des cyberattaquants. Pour y parvenir, les fraudeurs n’ont besoin que de quelques informations personnelles facilement accessibles sur leur cible : numéro de téléphone, date de naissance… Ils peuvent ensuite usurper l’identité de la victime afin de contacter son opérateur téléphonique et obtenir une nouvelle carte SIM associée au numéro destinataire du sms.

Sans rentrer dans le détail de toutes les attaques dédiées à chaque méthode, ayez en tête que la plupart des solutions d’authentification sont sensibles aux attaques de phishing.
Seules les technologies de type FIDO et WebAuthn sont en capacité de contrer ce type d’attaque. Cependant les clés « physiques » ont elles aussi des limites : elles s’exposent notamment à des risques de perte ou de vol et peuvent complexifier l’expérience utilisateur.

De l’identification à l’authentification forte, multifacteur et adaptative, il n’existe pas de moyen universel et infaillible. Ceci étant dit, nous rejoignons le constat fait lors du Panocrim 2023 : mieux vaut du MFA attaquable que pas de MFA du tout ! La connaissance des forces et faiblesses de chacune des méthodes d’authentification doit vous permettre de construire une stratégie IAM optimale et adaptée aux différents cas d’usages de votre organisation.

Le curseur confort utilisateur vs sécurité

Pourquoi l’authentification via notification push mobile a séduit autant d’organisations ? C’est tout simplement parce qu’elle permet une connexion simple et rapide pour l’utilisateur qui est de fait plus enclin à l’utiliser ! Rappelons que nous vivons dans une ère où les besoins digitaux des utilisateurs convergent autour de l’ergonomie, de la rapidité et de la personnalisation. Les solutions d’authentification n’échappent pas à ce constat : il faut proposer un parcours d’accès unifié et sans couture pour une expérience utilisateur fluide.

Ce constat nous conduit à l’un des plus gros enjeux des RSSI : trouver le bon équilibre entre sécurité et expérience utilisateur. Négliger le confort au profit de méthodes d’authentification plus complexes est contreproductif : toute technologie, aussi efficace soit-elle, est à coup sûr rejetée par les utilisateurs si elle est jugée trop contraignante. Ces derniers n’adhèrent pas aux services proposés, et contournent la sécurité du système si elle n’est pas ergonomique, exposant ainsi l’entreprise à des menaces.

Pour éviter d’imposer une méthode inadaptée, nous vous recommandons d’adapter votre méthode d’authentification au niveau de criticité de vos ressources. Plus la donnée est sensible, plus elle doit être élevée, comme pour l’accès aux comptes d’administration par exemple. En revanche lorsqu’il s’agit d’accès à des ressources sans risque, privilégiez une méthode offrant plus de confort à vos utilisateurs. Tout est question de curseur !

Comment limiter les attaques MFA fatigue ?

Zoom sur les notifications push

Si vous souhaitez mettre en place une solution MFA via notification push au sein de votre organisation, il sera absolument indispensable de prévoir des campagnes de sensibilisation auprès de vos utilisateurs. Le MFA fatigue s’attaquant à la faille humaine, avoir des collaborateurs sensibilisés à ce type d’attaque diminuera le risque d’erreur et d’intrusion dans votre SI. De manière générale, la sensibilisation des collaborateurs est un pilier de toute stratégie de cybersécurité.

Des solutions techniques peuvent également aider à limiter le risque d’attaque. On citera par exemple les notifications pull comme facteur d’authentification, très répandues dans le secteur bancaire : dans ce schéma, l’utilisateur doit ouvrir son application pour déclencher la notification. Il est alors impossible pour les cyberattaquants d’envoyer des flots de notifications à leur victime.
Autre exemple : l’utilisation d’un challenge. Au lieu de simplement valider la notification l’utilisateur doit confirmer le challenge qui lui est proposé – généralement sous forme de nombre ou d’image. Pour valider ce challenge, il faut, par exemple, sélectionner le bon nombre sur son téléphone en fonction de la consigne indiquée sur la mire d’authentification.
Rajouter cette étape permet de renforcer la sécurité. De cette manière, on diminue le risque que la victime confirme par erreur une notification suite à un flot envoyé lors d’une attaque.

Ces deux techniques permettent de mieux protéger l’authentification via notification contre les attaques MFA fatigue, mais gardez en tête que l’humain reste au centre de la faille. Si l’attaquant le manipule plus en profondeur (en le contactant via WhatsApp par exemple) le risque reste présent.. Ainsi s’il s’agit de protéger des données critiques, mieux vaut opter pour d’autres méthodes, moins sensibles à la faille humaine.

Fido 2 et WebAuthn, un bon compromis ?

L’utilisation des technologies Fido2 et WebAuthn pour l’authentification laisse moins de place à la défaillance de l’utilisateur par rapport aux technologies multi facteurs telles que la validation par notification.

Pour augmenter la fiabilité de l’authentification des utilisateurs, elles s’appuient sur des protocoles cryptographiques solides et des clés matérielles ou biométriques comme par exemple des clés USB sécurisées ou des PC intégrant des capteurs de reconnaissance d’empreintes digitales.

La mise en place de ces technologies protège votre SI de nombreuses menaces, notamment le MFA fatigue et le phishing. Cependant, en contrepartie, sa mise en place peut se révéler plus coûteuse et son utilisation moins ergonomique pour vos collaborateurs, notamment pour les tokens physiques.

Il s’agit bien à nouveau d’une question d’équilibre ergonomie/sécurité/coût qui est propre à chaque organisation. La méthode d’authentification parfaite n’existe pas, il faut trouver celle qui est la plus adaptée à vos enjeux et priorités !

Ajuster son niveau de sécurité avec l’authentification adaptative et contextuelle

En se basant sur une analyse dynamique des risques, l’authentification adaptative est une technologie très pertinente. Elle concilie ergonomie et sécurité en proposant des méthodes variées et en renforçant le niveau d’authentification lorsqu’un risque est détecté afin de s’assurer de la véracité de l’approbation.

La méthode consiste à calculer le niveau de fiabilité d’une demande d’authentification à un instant T. L’évaluation repose sur des critères contextuels : appareil utilisé, lieu et horaire de connexion, geoprofiling, sensibilité de l’application et profil de l’utilisateur, etc. Ainsi, lorsqu’un utilisateur souhaite accéder à une application, il se verra demander des niveaux d’authentification différents, selon l’évaluation du niveau de confiance dans lequel il se trouvera. Si le risque est trop important, alors on pourra aller jusqu’à bloquer la connexion.

De cette façon, l’authentification adaptative peut stopper une attaque MFA fatigue en ne permettant pas l’envoi de notifications répétées ou depuis une géolocalisation inhabituelle.
Cette technologie permet la prise en compte des cas d’usages les plus complexes, nous vous conseillons de vous faire accompagner par des experts du sujet afin de construire de façon pragmatique et itérative votre projet. C’est ainsi que vous pourrez mettre en place des solutions IAM évolutives et robustes, clé en matière de cybersécurité !

Forts de notre expérience en matière de gestion des identités et des accès, nos experts ont accompagné avec succès les besoins spécifiques de nos 300 clients sur Ilex IAM Plateform. Cette expertise nous permet de vous offrir un socle pérenne et évolutif, conçu pour répondre à vos exigences uniques.

Limiter votre surface d’intrusion grâce à l’approche Zero Trust

Une méthode d’authentification adaptée à votre organisation réduit donc les risques d’erreurs humaines pouvant conduire à une intrusion dans le SI. Cependant, la menace reste présente si les attaquants décident d’aller plus loin dans leur manipulation.
Pour une sécurité encore plus optimale, il convient alors de s’assurer que, même si l’attaquant arrive à compromettre un premier niveau de défense, il lui sera impossible d’accéder à toutes les ressources. Pour cela, on peut appliquer deux règles clés de l’approche Zero Trust :

• L’utilisateur doit se réauthentifier dès qu’il souhaite changer d’environnement ou de contexte.
• Les habilitations doivent être définies selon le principe du moindre privilège.

Recommandé par l’ANSSI et la NSIT, le modèle d’architecture Zero Trust réduit effectivement l’impact des incidents de sécurité de votre organisation en limitant la zone d’intrusion, comme nous l’avions déjà évoqué dans notre article sur l’approche Zero Trust Network Access.
En s’assurant que l’accès aux ressources critiques est limité aux seules personnes autorisées, une stratégie IAM adressant de l’authentification adaptative s’inscrit parfaitement dans l’approche du Zero Trust.

Zero trust et IAM sont en fait étroitement liés : c’est en vous appuyant sur une plateforme IAM complète associant les technologies d’authentification multifacteur et contextuelle, de contrôle d’accès et de gestion des habilitations, que vous pourrez mettre en place une vérification systématique, continue et dynamique des accès, conforme à une politique de sécurité Zero Trust adaptée au contexte du monde numérique actuel.

Pour revenir et conclure sur le MFA fatigue, il convient donc de prendre en compte ces attaques dans votre stratégie de gestion des accès car il ne s’agit pas d’une fatalité.
En optant pour la mise en place d’une authentification adaptative, vous réduirez instantanément les risques d’intrusion tout en posant les premières bases d’une architecture Zero Trust au sein de votre organisation.