Comment se défendre contre les attaques de fatigue de l'AMF : Sécurité AD 101

Une attaque de fatigue MFA - également connue sous le nom de bombardement MFA - est une tactique, une technique et une procédure d'attaque (TTP) dans laquelle un acteur de la menace inonde les utilisateurs de demandes d'authentification multifactorielle (MFA). En submergeant, en déroutant ou en distrayant l'utilisateur pour qu'il approuve une demande frauduleuse, les attaquants espèrent obtenir l'accès à votre environnement réseau.

Microsoft a récemment indiqué qu'au milieu de l'année 2023, elle observait près de 6 000 tentatives de lassitude de l'AMF par jour. Il est judicieux d'apprendre à quoi ressemblent ces attaques et comment s'en défendre.

Qu'est-ce que l'AMF ?

L'authentification multifactorielle (AMF) est une mesure de sécurité qui exige des utilisateurs qu'ils fournissent au moins deux types d'identification distincts pour accéder à un compte ou à un système. Cette approche renforce la sécurité : Même si un facteur d'authentification est compromis, les facteurs supplémentaires peuvent empêcher un accès non autorisé.

Qu'est-ce que la fatigue de l'AMF ?

La plupart des utilisateurs comprennent la valeur de l'AMF. Mais nombreux sont ceux qui se sont lassés des nombreuses notifications push qui constituent la journée de travail moderne. La fatigue de l'AMF survient lorsque les utilisateurs sont tellement submergés par les notifications qu'ils n'accordent plus toute leur attention à chacune d'entre elles.

Une attaque par fatigue de l'AMF n'est pas un moyen direct de contourner l'AMF. Elle exploite plutôt l'erreur humaine et la fatigue au cours du processus d'AMF. L'approche exploite la confiance que les utilisateurs accordent à l'AMF et le fait qu'ils s'attendent à ce que toute demande d'AMF soit légitime.

Souvent, l'attaquant s'attend à ce que l'utilisateur approuve une demande frauduleuse parmi un flot de demandes légitimes. Les attaques par lassitude de l'AMF soulignent l'importance non seulement de la mise en place de l'AMF, mais aussi de la formation des utilisateurs à la prudence et au discernement quant aux demandes d'AMF qu'ils approuvent.

Le danger des attaques de fatigue de l'AMF

Les attaques par lassitude de l'AMF, bien que souvent subtiles dans leur exécution, ont de profondes implications pour la sécurité et la dynamique de confiance au sein de votre organisation. Ces attaques ne menacent pas seulement directement votre sécurité numérique, elles affectent aussi négativement la confiance et l'état mental des utilisateurs.

Voici quelques conséquences potentielles d'une attaque par fatigue de l'AMF.

• Accès non autorisé : L'un des dangers immédiats du bombardement de l'AMF est une violation potentielle des ressources sécurisées. Supposons qu'un utilisateur approuve par erreur une demande d'AMF erronée. Les attaquants peuvent exploiter cette erreur pour obtenir un accès non autorisé à des données, des systèmes ou des applications sensibles. Une attaque réussie par fatigue de l'AMF ne met pas seulement en danger les informations confidentielles de votre organisation, mais peut également avoir des répercussions juridiques et financières.
• Déni de service : L'AMF est principalement perçue comme une mesure de sécurité visant à protéger l'accès. Paradoxalement, le bombardement de l'AFM peut tirer parti de ce processus pour refuser l'accès. En submergeant le système d'une multitude de demandes d'AMF, les attaquants peuvent provoquer un blocage, empêchant les utilisateurs légitimes d'accéder à leurs comptes. Un tel scénario peut être particulièrement préjudiciable si des opérations sensibles au facteur temps ou des processus commerciaux critiques sont interrompus.
• Érosion de la confiance : L'impact le plus insidieux du bombardement de l'AMF est peut-être son effet à long terme sur la perception et la confiance de l'utilisateur. Chaque demande d'AMF erronée ou inutile rappelle la vulnérabilité du système. Au fil du temps, avec des fausses alertes fréquentes, les utilisateurs peuvent commencer à douter de l'efficacité du système d'AMF. Cette perte de confiance peut engendrer une certaine complaisance, rendant les utilisateurs encore plus sensibles aux futures attaques de fatigue de l'AMF. En outre, si les utilisateurs en viennent à considérer l'AMF comme une source constante d'interruptions et de confusion plutôt que comme une mesure de sécurité essentielle, ils pourraient être davantage enclins à la contourner ou à y résister.

Comment fonctionne une attaque par fatigue de l'AMF ?

En comprenant les mécanismes utilisés par les adversaires, qui vont des campagnes d'hameçonnage trompeuses aux tentatives stratégiquement programmées, les équipes de sécurité peuvent mieux se préparer et se défendre contre ces menaces insidieuses.

• Initiation par hameçonnage : L'attaquant commence par envoyer des courriels de phishing conçus pour s'emparer des informations d'identification principales de l'utilisateur. Lorsque l'attaquant dispose de ces informations d'identification, il lance le processus de bombardement de l'AMF.
• Génération rapide de demandes : À l'aide d'outils automatisés ou de scripts, l'attaquant lance rapidement plusieurs tentatives de connexion. Chaque tentative déclenche une demande de MFA à l'utilisateur. L'objectif est de créer un déluge d'invites MFA et de lasser l'utilisateur.
• Demandes malveillantes masquées : Parmi les demandes d'AMF légitimes résultant des tentatives de connexion de l'attaquant, ce dernier peut intercaler des demandes d'AMF malveillantes pour un compte ou un service différent. Il espère que, dans la confusion, l'utilisateur approuvera la mauvaise demande.
• Le timing : L'attaquant peut stratégiquement programmer son attaque à un moment où l'utilisateur est susceptible d'être distrait, par exemple au début d'une journée de travail ou juste après une pause déjeuner.

Exemples d'attaque par fatigue de l'AMF

Les attaques par fatigue de l'AMF semblent être les préférées du groupe d'attaque Lapsus$, qui a utilisé le TTP contre Uber en 2022. Cisco a également été la cible d'attaques par fatigue MFA, tout comme diverses entreprises et organisations gouvernementales.

Comment une attaque d'AMF peut-elle se dérouler ? Voici quelques exemples.

• Surcharge de notifications push : Un employé utilise une application mobile pour l'AMF, qui envoie des notifications push pour approbation. Un attaquant, après avoir obtenu les identifiants de connexion principaux par le biais d'une campagne d'hameçonnage distincte, lance un barrage de tentatives de connexion. Le téléphone de l'employé est inondé de notifications push. Dans la confusion qui s'ensuit, l'employé approuve par inadvertance une tentative de connexion malveillante à un système sensible ou à un référentiel de données.
• Confusion des codes SMS : Un employé reçoit des codes MFA par SMS. Un pirate, armé des informations d'identification principales de l'employé, lance le processus de connexion plusieurs fois de suite. Le téléphone de l'employé est bombardé de codes SMS, ce qui rend difficile de discerner celui qui est réellement requis pour une action légitime qu'il essaie d'effectuer. Au milieu de ce chaos, il peut utiliser un code envoyé par l'attaquant pour une connexion malveillante.
• Masquage de service légitime : Un employé utilise plusieurs services qui dépendent tous de la même application MFA pour l'authentification. Un attaquant lance plusieurs connexions sur un service moins critique, inondant l'application MFA de demandes. Parmi ces demandes se cache celle d'un service plus sensible. L'employé débordé approuve par erreur l'accès à ce service critique.

Lutter contre la lassitude du MAE

Dans le jeu complexe de la cyberdéfense, la compréhension et la lutte contre les menaces en constante évolution nécessitent un mélange de sensibilisation des utilisateurs et de solides protections technologiques. Envisagez les tactiques suivantes pour contrer les attaques de fatigue de l'AMF.

• Correspondance des numéros : si un défi d'AMF nécessite une correspondance des numéros, l'utilisateur doit avoir accès à la session d'authentification d'origine, ce qui n'est pas possible dans le cadre d'une attaque de fatigue de l'AMF.
• Géolocalisation : La présentation d'informations de géolocalisation, même inexactes, dans le cadre du défi d'AMF fournit un contexte plus précis à l'utilisateur. Si un utilisateur situé à Los Angeles reçoit une demande de push avec une géolocalisation de Copenhague, il peut reconnaître quelque chose de louche dans la demande.
• Formation des utilisateurs : L'élément humain reste l'un des aspects les plus vulnérables de toute stratégie de sécurité. C'est pourquoi une formation complète des utilisateurs est primordiale. Il s'agit non seulement de familiariser les utilisateurs avec le concept d'attaques de fatigue de l'AMF, mais aussi de leur inculquer une prudence habituelle. Des ateliers réguliers, des attaques simulées et des rappels constants peuvent aider les utilisateurs à reconnaître les activités suspectes. En vérifiant le contexte de chaque demande MFA, vos employés peuvent réduire de manière significative le risque d'accorder un accès par erreur.
• Limitation du débit : L'une des contre-mesures techniques les plus efficaces est la limitation du débit. En fixant un seuil pour le nombre de demandes d'AMF autorisées au cours d'une période donnée, vous réduisez considérablement la capacité des attaquants à inonder les utilisateurs de notifications. Cette approche empêche non seulement les attaquants de confondre la cible, mais fournit également une couche de protection contre les tentatives potentielles d'attaque par force brute.
• Enregistrement et surveillance : L'enregistrement continu et approfondi des tentatives d'authentification a un double objectif. Tout d'abord, en conservant un enregistrement détaillé, les organisations peuvent effectuer une analyse post-incident pour comprendre et traiter les vulnérabilités. Deuxièmement, les outils de surveillance en temps réel peuvent évaluer ces journaux et utiliser l'apprentissage automatique ou l'analyse heuristique pour détecter des schémas correspondant à une attaque par fatigue de l'AMF. Lorsque de tels schémas émergent, des alertes automatiques peuvent avertir les équipes de sécurité pour qu'elles mènent une enquête plus approfondie.
• Mécanisme de retour d'information : Permettre aux utilisateurs de participer activement à la stratégie de défense peut s'avérer incroyablement efficace. En mettant en place un mécanisme de retour d'information facile à utiliser, les utilisateurs peuvent rapidement signaler les invites MFA suspectes ou d'autres anomalies. Cette capacité permet non seulement aux équipes informatiques de recevoir des alertes immédiates sur les menaces potentielles, mais elle favorise également une culture de la sécurité dans laquelle chaque individu se sent responsable de la protection des actifs numériques.

Combattre la lassitude du MAE

Le bombardement de l'AMF présente un défi à multiples facettes, opposant les avancées technologiques de la sécurité aux vulnérabilités du comportement humain. Grâce à des tactiques telles que l'hameçonnage, la génération rapide de requêtes et les requêtes malveillantes masquées, les attaquants ont utilisé comme arme un outil censé protéger les utilisateurs.

L'AMF reste un mécanisme de défense solide, mais son efficacité peut être compromise lorsque les utilisateurs sont dépassés ou insuffisamment formés. La clé de la lutte contre la fatigue de l'AMF ne réside pas seulement dans les contre-mesures technologiques, mais aussi dans l'éducation et la responsabilisation des utilisateurs.

En associant la sensibilisation à des défenses proactives telles que la limitation du débit et les mécanismes de retour d'information, les organisations peuvent préserver le caractère sacré de leurs systèmes de sécurité tout en protégeant les utilisateurs contre l'exploitation. La sensibilisation, la vigilance et l'adaptation continue restent vos meilleurs alliés.