jirsak - stock.adobe.com
MFA : les erreurs courantes et comment les corriger
Les attaquants ont adapté leurs techniques pour contourner les contrôles de MFA d'une organisation. Lorsqu'ils réussissent, c'est généralement parce que la MFA n'a pas été correctement configurée ou administrée.
La MFA a longtemps été l'un des contrôles de sécurité les plus efficaces qu'une organisation puisse déployer. Elle est peu coûteuse par rapport à de nombreuses technologies de sécurité, relativement facile à mettre en œuvre et capable d'arrêter un grand pourcentage d'attaques basées sur des identifiants.
Ce n'est pas une coïncidence si presque tous les frameworks de sécurité et les polices d'assurance cyber recommandent ou exigent la MFA. Même ainsi, le simple fait de cocher la case « MFA activée » ne signifie pas qu'une organisation est adéquatement protégée contre les attaques. Dans de nombreuses violations, l'organisation victime avait l'authentification à facteurs multiples en place, et le défaut ne résidait généralement pas dans la technologie elle-même.
Le problème résulte souvent de la manière dont la MFA a été déployée, configurée ou administrée au fil du temps. Comme tout contrôle de sécurité, la MFA n'est efficace que dans la mesure de sa mise en œuvre.
Examinons quelques façons courantes dont le MFA peut mal tourner.
Erreur n°1 : Supposer que la MFA offre une couverture complète
Problème : L'une des plus grandes erreurs commises par les organisations est de croire que la MFA est appliquée universellement. En réalité, il est courant de trouver des exceptions qui se sont accumulées au fil du temps. Les comptes de service, les applications patrimoniales, les accès VPN, les comptes d'administrateurs privilégiés, les comptes d'accès d'urgence et les protocoles d'authentification plus anciens sont souvent exclus parce qu'ils étaient difficiles à migrer ou ont été temporairement exemptés lors du déploiement. Il n'est pas non plus rare que certains cadres supérieurs ou autres personnels clés se voient accorder des exemptions parce qu'ils trouvent la MFA contraignante.
Les attaquants ne se soucient pas que 98 % des utilisateurs d'une cible aient la MFA — ils trouveront les 2 % qui manquent.
Solution : Examinez périodiquement les politiques d'authentification et identifiez les comptes, applications ou protocoles qui contournent les exigences de MFA, et, au minimum, activez une surveillance plus rigoureuse sur ces comptes.
Erreur n°2 : Se fier à des facteurs d'authentification faibles
Problème : Toutes les méthodes de MFA n'offrent pas le même niveau de protection. Les codes à usage unique basés sur SMS restent courants, mais ils sont de plus en plus vulnérables au SIM swapping, au hameçonnage (phishing) et aux schémas d'ingénierie sociale. La vérification par e-mail introduit bon nombre des mêmes faiblesses si le compte de messagerie lui-même est compromis.
Solution : Privilégiez les méthodes résistantes au hameçonnage chaque fois que possible, telles que les clés de sécurité FIDO2, les clés de passe (ou passkeys), Windows Hello for Business ou les authentificateurs de plateforme intégrés aux terminaux. Il est beaucoup plus difficile pour les attaquants de les déjouer.
Erreur n°3 : Céder à la fatigue de la MFA
Problème : Les notifications push ont facilité la MFA pour les utilisateurs, mais elles ont également créé une opportunité pour les attaquants. Dans une attaque de fatigue de MFA, les pirates malveillants bombardent les utilisateurs de demandes d'approbation répétées, en supposant que quelqu'un appuiera finalement sur « Approuver » simplement pour arrêter les notifications. Combinée à une ingénierie sociale convaincante, cette technique a réussi à contourner le MFA dans plusieurs violations médiatisées ces dernières années.
Solution : De nombreuses plateformes d'authentification modernes ont mis en œuvre la correspondance de nombres, la sensibilisation à la localisation et des étapes de vérification supplémentaires. Ces fonctionnalités peuvent réduire considérablement les approbations accidentelles. Activez-les partout où c'est possible.
Erreur n°4 : Négliger la sécurité des sessions
Problème : De nombreuses organisations se concentrent fortement sur le processus de connexion, mais accordent beaucoup moins d'attention à ce qui se passe après. Si un attaquant vole une session de navigateur authentifiée ou un jeton d'accès, il n'aura peut-être pas besoin de s'authentifier à nouveau. Au lieu des mots de passe, les acteurs malveillants ciblent de plus en plus les cookies de session, les jetons OAuth et les identifiants de navigateur.
Solution : La plupart des équipes de sécurité reconnaissent désormais que la protection de l'identité doit s'étendre au-delà de l'authentification initiale. Les politiques d'accès conditionnel, la confiance des appareils, l'expiration de session, l'évaluation d'accès continu et la protection des jetons aident tous à réduire le risque de détournement de session.
Erreur n°5 : Oublier les comptes privilégiés
Problème : Il est admis que les comptes administrateurs méritent une protection plus forte que ceux des utilisateurs standards, bien que les équipes de sécurité ne mettent pas toujours cela en pratique. Si les attaquants compromettent certains types de comptes privilégiés, ils pourraient être capables de désactiver les contrôles MFA pour des cibles sélectionnées, voire pour tous les membres d'une organisation.
Solution : Les administrateurs globaux des plateformes SaaS, les administrateurs d'infrastructure cloud, les administrateurs de domaine et les comptes d'assistance privilégiés doivent disposer des méthodes d'authentification les plus solides disponibles. Les clés de sécurité matérielles, la MFA résistante au hameçonnage, les postes de travail administratifs dédiés et les outils de gestion des accès privilégiés (PAM) réduisent considérablement les risques.
Erreur n°6 : Traiter la MFA comme un projet ponctuel
Problème : Les organisations investissent souvent beaucoup dans un déploiement de MFA, puis passent à l'initiative suivante. Malheureusement, les environnements ne restent pas immobiles. De nouvelles applications SaaS sont introduites, des acquisitions d'entreprise ont lieu, des systèmes patrimoniaux restent en production, les développeurs créent des comptes de service, etc. Il n'est pas rare que des exceptions s'accumulent.
Solution : Menez des examens périodiques qui posent les questions suivantes :
- Quels utilisateurs sont toujours exemptés de la MFA ?
- Quelles applications ne prennent pas en charge l'authentification moderne ?
- Des méthodes d'authentification plus solides sont-elles disponibles ?
- Les schémas d'authentification risqués ont-ils changé ?
- Les politiques d'accès conditionnel sont-elles toujours alignées sur les exigences métiers ?
Considérez la MFA comme un programme de sécurité opérationnel plutôt qu'un projet fini.
Erreur n°7 : Ne pas se préparer à l'ingénierie sociale assistée par l'IA
Problème : Les attaquants deviennent de plus en plus doués pour persuader les utilisateurs d'approuver des demandes d'authentification, souvent aidés par l'IA. Les e-mails de hameçonnage générés par l'IA, le clonage vocal réaliste et autres deepfakes, ainsi que l'ingénierie sociale hautement personnalisée, facilitent la tromperie des utilisateurs pour qu'ils approuvent des invites MFA ou partagent des codes d'authentification.
Solution : Ces problèmes rendent l'éducation des utilisateurs encore plus importante. Les employés doivent comprendre que les équipes de sécurité, les services d'assistance ou les fournisseurs ne leur demanderont jamais d'approuver une demande MFA inattendue ou de fournir un code de vérification par téléphone. Pour renforcer cela, mettez fréquemment à jour vos campagnes de sensibilisation.
La MFA est une fondation, pas une finalité
Malgré ces défis, la MFA reste l'un des contrôles de sécurité les plus efficaces disponibles. Les organisations doivent considérer la MFA comme un composant d'une stratégie de sécurité des identités plus large qui comprend l'authentification résistante au hameçonnage, l'accès conditionnel, le PAM, la protection des sessions, la surveillance continue et les examens de politiques réguliers.
Lorsqu'elle est mise en œuvre de manière réfléchie et maintenue au fil du temps, la MFA arrête d'innombrables attaques chaque jour. Les organisations qui tirent le plus de valeur de la MFA sont celles qui reconnaissent qu'il ne s'agit pas d'un « état final » pour l'authentification. C'est plutôt l'une des fondations essentielles d'un programme de sécurité d'identité plus solide.
Dave Shackleford est fondateur et consultant principal chez Voodoo Security, ainsi qu'analyste, instructeur et auteur de cours SANS, et directeur technique GIAC.
