Authentification à facteurs multiples : des efforts croissants de contournement

Les groupes de cyberdélinquants intensifient leurs efforts pour contourner les mécanismes d’authentification à facteurs multiples (MFA) et, ainsi, prendre pied dans les systèmes d’information.

C’est ce qui ressort d’un rapport d’Auth0, filiale du spécialiste de la gestion des identités et des accès (IAM) Okta. Selon celui-ci, les codes d’authentification à usage unique (OTP) constituent le nouvel objet de convoitise des cyberdélinquants qui cherchent à s’inviter dans les réseaux informatiques.

Sur l’année, les attaques contre les systèmes de MFA ont atteint un niveau jamais observé antérieurement, en hausse significative par rapport à 2021 et dépassant de loin les niveaux observés en 2020, indique Okta. Rien qu’au cours des 90 premiers jours de cette année, son réseau a enregistré environ 113 millions d’attaques visant les systèmes de MFA. Mais c’est peut-être aussi un signe de leur adoption croissante.

« En raison de ses mérites avérés, davantage de fournisseurs d’applications et de services recommandent ou exigent la MFA », indique d’ailleurs l’équipe Auth0 d’Okta dans le rapport. « Par conséquent, le premier semestre de 2022 a connu une base de référence plus élevée d’attaques contre la MFA que toute autre année précédente dans notre ensemble de données ».

Les chercheurs ont observé deux techniques de contournement de la MFA : l’attaque en force brute et la tentative de deviner le code à usage unique, ou le recours à l’ingénierie sociale pour inciter un utilisateur ciblé à générer le code et à approuver une demande d’accès frauduleuse.

Dans ce dernier cas, les attaquants cherchent surtout à fatiguer leur cible en la noyant sous les demandes répétées de code – prétendant souvent provenir du personnel informatique ou d’assistance – via des SMS ou d’autres outils de messagerie. Finalement, l’utilisateur cède et approuve le défi MFA, ce qui permet à l’attaquant d’accéder au système.

Une approche comparable a été employée par le groupe Lapsus$ contre Uber et Rockstar Games, mais non pas pour pousser un utilisateur final à approuver un challenge MFA, mais pour obtenir d’un membre de l’équipe IT l’enrôlement d’un terminal étranger dans le système d’authentification forte.

Le succès de telles attaques dépend du fait que les cibles ne sont pas conscientes qu’une attaque est en cours. À titre d’exemple, les équipes d’Auth0 ont cité une campagne d’un mois contre un site de voyage en Europe qui a ciblé 50 numéros de téléphone avec plus de 100 SMS liés à la MFA pour chacun.

« Imaginez comment un utilisateur pourrait se comporter dans cette situation : reconnaîtrait-il l’assaut de demandes MFA comme les signes d’une attaque, ou penserait-il que le service est simplement “bogué” ? », indique le rapport. « Approuverait-il une demande ou modifierait-il peut-être sa configuration pour désactiver la MFA ? ».

L’utilisation accrue de l’ingénierie sociale pour contourner les mécanismes d’authentification à facteurs multiples constituera une nouvelle menace pour tous ceux qui voient la MFA comme un moyen robuste de se prémunir contre les compromissions de comptes et le vol d’identifiants. De quoi nécessiter, potentiellement, l’ajout de nouveaux volets aux campagnes de sensibilisation.