Les sociétés qui imposent l’authentification multifacteur (MFA) à tous leurs clients
En avril 2020, Zoom était en plein essor. Le début de la pandémie de COVID a contraint les employés à faire du télétravail, les réunions en personne ont migré vers un modèle de visioconférence et Zoom est devenu l’outil privilégié. Ce succès massif et rapide a ouvert la voie aux cybercriminels. Une vulnérabilité dans Zoom pourrait leur permettre de voler les identifiants Windows d’un utilisateur si ce dernier clique sur un lien fourni lors d’une session Zoom. Comment accéder à ces sessions privées ? La réponse est arrivée quelques semaines plus tard.
Un fichier contenant près de 530 000 mots de passe d’utilisateurs de Zoom a été vendu sur le Dark Web. Est-ce que Zoom a été piraté ? Non, les cybercriminels ont dérobé des gigaoctets d’identifiants au fil des ans et les ont utilisées sur Zoom lors d’une attaque de type « credential stuffing ». Des centaines de milliers d’entre eux ont fonctionné. L’attaque consiste essentiellement à faire des tentatives de connexion en utilisant des identifiants volés qui proviennent généralement d’une autre fuite. Par exemple, si j’utilise le même mot de passe pour LinkedIn et Zoom, et que mes identifiants font partie de l’un des piratages de LinkedIn (le plus célèbre datant de 2012, lorsque 6,5 millions d’informations d’identification utilisées sur LinkedIn ont été volées), une attaque de type « credential stuffing » aurait fonctionné pour Zoom.
Les personnes ont en effet tendance à utiliser le même mot de passe à plusieurs reprises. À moins de disposer d’un gestionnaire de mots de passe, il est impossible d’en avoir un différent pour chaque compte de votre vie numérique. Les utilisateurs ont en général trois à cinq mots de passe différents au total, avec de légères variations, comme les chiffres qui se trouvent à la fin.
C’est probablement l’une des raisons pour lesquelles Salesforce a annoncé, au début de l’année 2021, sa décision d’imposer l’authentification multifacteur (MFA) à ses utilisateurs le 1er février 2022. Imaginez que Salesforce, la solution de gestion de la relation client (CRM) la plus populaire du marché, soit victime d’une attaque de type « credential stuffing ». Cela exposerait des milliers, voire des centaines de milliers, de comptes contenant tous des contacts et des informations commerciales sensibles. Salesforce va désormais activer automatiquement la MFA tout au long de l’année. Les mots de passe à usage unique (OTP) envoyés par SMS ou par email sont extrêmement vulnérables aux attaques multiples et ne seront donc pas acceptés.
Google a suivi le même chemin. En mai 2021, l’entreprise a annoncé qu’elle allait appliquer et activer automatiquement l’authentification à deux facteurs (2FA) pour les nouveaux utilisateurs. En février 2022, elle comptait plus de 150 millions d’utilisateurs 2FA pour les comptes Google, ainsi que deux millions d’utilisateurs 2FA pour les créateurs sur YouTube.
Il est clair que la culture de la MFA est désormais répandue. Les sociétés à la recherche d’une cyberassurance devront prouver qu’elles protègent les emails, les serveurs, l’accès à distance et les données sensibles à l’aide de la MFA. Les gouvernements l’appliquent déjà auprès de leurs agences et de leurs fournisseurs. La tendance du marché va dans ce sens et les fournisseurs de services managés (MSP) y contribuent depuis des années.
- En juillet 2019, Corey Nachreiner de WatchGuard a évoqué la menace des attaques ciblées sur les MSP. Au lieu de s’attaquer à une seule société à la fois, pourquoi ne pas cibler les MSP, afin que le ransomware puisse être déployé sur tous leurs comptes gérés en même temps ? En utilisant certaines consoles d’administration de ConnectWise, Kaseya, Webroot et des services de protocole de bureau à distance (RDP), les cybercriminels ont pu mener avec succès une attaque massive par le biais des MSP.
- Le Vice-Président de Webroot de l’époque, Chad Bacher, a annoncé que « pour assurer la meilleure protection à l’ensemble de la communauté des clients de Webroot, nous avons décidé qu’il était temps de rendre l’authentification à deux facteurs obligatoire. » Il a raison. Si la MFA est importante pour protéger les ressources d’une société, la protection de la console d’administration d’un MSP l’est bien plus encore.
- En juin 2020, l’United States Secret Service a publié un message d’alerte concernant une augmentation des attaques liées aux MSP, de toute évidence pour maximiser le nombre de sociétés infectées. Dans ce message, il recommande aux clients de MSP de « mettre en place une authentification à deux facteurs pour toutes les connexions à distance. »
- À l’instar de celui-ci, l’agence américaine Cybersecurity & Infrastructure Security Agency (CISA), ainsi que le FBI et la NSA, ont publié un message d’alerte en septembre 2021, en raison de l’augmentation croissante des infections par le ransomware Conti. Ce message mentionne que la plupart des attaques ont été menées par le biais d’un accès à distance aux serveurs (RDP) en utilisant des identifiants volés ou faibles. Parmi les actions prioritaires et recommandées figurait la mise en œuvre de la MFA pour le RDP.
Actuellement, les MSP ajoutent la MFA à leurs solutions de gestion. Désormais, il ne s’agit plus d’une option mais d’un service de base qui garantit la sécurité des comptes gérés, ainsi que leur propre protection. Ils ne peuvent tout simplement pas faire face à une infection majeure par ransomware dans tout leur portefeuille de comptes gérés. De plus, la MFA est une arme efficace pour protéger l’accès aux données sensibles et lutter contre la diffusion de ransomwares, moyennant une bonne formation des utilisateurs.