MFA : conseils pour une mise en œuvre robuste

L’année 2022 a été notamment marquée par l’agressivité croissante des cyberattaquants pour tenter de contourner des mécanismes d’authentification à facteurs multiples (MFA) toujours plus populaires. Le groupe Lapsus$ y est parvenu à quelques reprises, notamment par ingénierie sociale.

À l’automne dernier, nous avons sollicité les commentaires et les recommandations de Cisco Duo, OneLogin (One Identity) et Okta au sujet de cette menace. Seules nous sont parvenues les réponses de Ben King, vice-président d’Okta en charge de la confiance client. Nous les reproduisons ici.

LeMagIT : pouvez-vous décrire cette technique de contournement de la MFA par ingénierie sociale ?

Ben King : Dans le cas d’Uber, l’attaquant a pu sécuriser les identifiants de connexion d’un contractant externe et abuser la MFA d’Uber avec des tentatives de connexion (intentionnellement) répétées, qui déclenchaient à chaque fois des demandes de connexion à deux facteurs.

Connue sous le nom de « fatigue MFA », la réussite de cette tactique repose sur le fait que la cible est frustrée et submergée par les demandes, et finit par les accepter, soit par accident, soit par résignation.

Suite à ces demandes répétées, l’attaquant s’est fait passer pour un représentant informatique d’Uber via WhatsApp et a informé la cible qu’elle devait approuver la demande si elle voulait que les invites cessent. À ce stade, l’attaquant a finalement pu obtenir l’accès.

 On ignore si Uber a des normes et des pratiques de sécurité différentes pour les employés à plein temps et les sous-traitants, mais ce qui est clair ici, c’est qu’il y avait une lacune dans la formation à la sécurité des utilisateurs.

Idéalement, l’utilisateur aurait dû être formé à reconnaître que le service informatique ne ferait pas une telle demande via WhatsApp, contrairement aux autres canaux internes qu’Uber peut avoir mis en place. De plus, l’utilisateur aurait dû savoir qu’il devait être plus proactif en signalant les demandes répétées à l’équipe informatique comme une anomalie.

Cet exploit est également un autre exemple de manquement au principe du moindre privilège. Dans cet incident, les informations d’identification du prestataire externe ont permis à l’attaquant d’accéder aux informations d’identification de l’administrateur de la gestion des accès privilégiés (PAM), qui apparaissaient dans un script powershell.

En réalité, ces informations d’identification ne devraient pas apparaître dans un tel script, et même si c’était le cas, elles ne devraient pas être accessibles sur le réseau à un utilisateur de niveau non-administrateur. C’est pourquoi il est recommandé de vérifier régulièrement la sécurité de l’utilisation des API et des bases de code.

LeMagIT : Quelles possibilités votre plateforme offre-t-elle pour éviter que ce type de tactique ne réussisse ?

Ben King : Les mots de passe sont essentiellement des secrets partagés et des facteurs de faible assurance. Chez Okta, nous permettons aux entreprises d’adopter une approche sans mot de passe grâce à des outils tels que Okta FastPass.

Proposé via Okta Verify sur Windows, macOS, iOS et Android, FastPass met à profit les systèmes d’authentification biométrique natifs intégrés à l’appareil d’un utilisateur. Tous les appareils fonctionnant avec Okta Verify peuvent utiliser par défaut une authentification de confiance sans mot de passe, avec une prise en charge biométrique optionnelle – sans vérification push nécessaire, tant que l’appareil est enregistré auprès de l’organisation Okta de l’entreprise.

L’approche sans mot de passe permet de réduire l’éventail d’attaques possibles basées sur les mots de passe, voire les éliminer, y compris le phishing et le bourrage d’identifiants – ou credentials stuffing –, tout en réduisant le temps d’authentification et en offrant une expérience utilisateur transparente.

L’authentification basée sur le risque, qui fait partie de la MFA adaptative, est un autre moyen efficace de réduire le risque d’attaques par lassitude de la MFA.

La détection des intrusions a probablement fait défaut dans l’incident Uber, étant donné que l’attaquant a pu traverser le réseau en toute impunité apparente.

Plusieurs facteurs du comportement, tels que l’emplacement géographique, l’usurpation d’adresse IP potentielle ou l’activité anormale, auraient dû alerter le système sur la possibilité d’un accès non autorisé.

La MFA adaptative peut reconnaître lorsque des informations d’identification valides sont utilisées pour une tentative d’authentification à partir d’un appareil, d’un lieu ou suivant un comportement non familier pour alors lancer un défi MFA additionnel. Ce qui crée des opportunités de détection supplémentaires.

Notre plateforme comprend également une fonction qui avertit les utilisateurs lorsque des modifications ont été apportées à leurs méthodes de sécurité, telles que leurs informations d’identification (y compris celles utilisées pour la MFA).

Cela permet de s’assurer que les utilisateurs sont rapidement alertés de tout changement sur leur compte, tout en leur fournissant un moyen immédiat de signaler à leur équipe de cybersécurité que quelque chose ne va pas, s’ils n’ont pas effectué eux-mêmes les changements signalés.

Nous utilisons également un bouton « Signaler une activité suspecte » qui déclenche plusieurs événements via un workflow Okta. En plus d’alerter l’équipe de cybersécurité au moyen d’une alerte PagerDuty, le flux suspend le compte de l’utilisateur de sorte que, s’il est compromis, l’attaquant ne peut pas continuer à l’utiliser.

Ce workflow lance également des appels à plusieurs systèmes critiques pour mettre fin aux sessions applicatives que l’utilisateur pourrait avoir ouvertes, empêchant ainsi l’attaquant d’utiliser une session existante dans des applications comme Slack ou Google Workspace en attendant que la durée de la session d’application expire. C’est la superposition de ces fonctionnalités de la plateforme qui permet de sécuriser Okta.

LeMagIT : Quelles autres recommandations pouvez-vous formuler pour éviter le succès de telles manœuvres ?

Ben King : Pour éliminer les systèmes d’authentification offrant une faible assurance, les organisations doivent revoir leurs politiques de sécurité, afin d’inclure l’utilisation de mécanismes d’authentification résistant au hameçonnage pour la MFA.

Les systèmes résistants au phishing utilisent les protocoles FIDO (Fast Identity Online), qui s’appuient sur la cryptographie à clé publique, éliminant ainsi l’utilisation de codes ou secrets partagés.

Ce faisant, ils réduisent considérablement la capacité des attaquants à intercepter les codes d’accès et à les rejouer. Ils vérifient également la validité de la source et de la destination, ce qui entraîne une action d’authentification limitée qui ne peut se produire qu’entre le site prévu et le dispositif de l’utilisateur.

Un autre facteur clé est qu’une organisation doit s’assurer qu’elle élève les normes de sécurité de son réseau étendu, en intégrant ses partenaires, ses sous-traitants et les fournisseurs tiers.

Dans un environnement de travail numérique et agile, où les ressources sont accessibles à partir de n’importe quel appareil et de n’importe quel endroit, il est essentiel que chaque maillon de votre chaîne logistique numérique soit aussi sûr que le suivant.

Parce que si la sécurité d’une organisation individuelle peut rendre nécessaire de limiter les déplacements latéraux par le biais de systèmes à moindre privilège, les fournisseurs tiers dont elle dépend peuvent ne pas appliquer les mêmes principes.