MFA : Comment éviter les attaques par prompt bombing
Le prompt bombing d’authentification multifacteur est la preuve irréfutable que toutes les solutions MFA ne sont pas sûres. Cette technique d’ingénierie sociale a fait beaucoup parler d’elle ces dernières semaines car des groupes de cybercriminels l’ont déployée avec succès, comme dans le cas des attaques Lapsus$.
La technique consiste, pour les pirates informatiques, à se faire passer pour une entreprise qui utilise un logiciel avec un système MFA afin que les utilisateurs puissent s’identifier et accéder à leurs services et solutions. La cible est bombardée de notifications de demande d’identification qui prétendent faire partie de la procédure du programme MFA en place. Si l’utilisateur tombe dans le piège, croit vraiment que les demandes proviennent de l’entreprise et clique sur une de ces notifications, les pirates informatiques ont alors accès à tous ses systèmes. Ce type de cyberattaque peut être exécuté de plusieurs manières différentes : les pirates informatiques peuvent envoyer une série de demandes en ligne pour amener l’utilisateur à accepter la demande d’identification, en croyant maintenir l’accès aux services de l’entreprise. Il arrive également que les pirates informatiques envoient des demandes moins fréquemment (une ou deux par jour) pour ne pas éveiller de soupçon. Les pirates informatiques vont même jusqu’à passer des appels téléphoniques à des utilisateurs spécifiques en se faisant passer pour un employé de l’entreprise afin d’obtenir sa confiance et de l’informer qu’ils allaient lui envoyer une demande MFA.
Mais comment éviter ces attaques par prompt bombing ?
- Comme c’est généralement le cas pour toutes les techniques d’ingénierie sociale, la méfiance des utilisateurs et la formation à la cybersécurité sont essentielles et constituent la première ligne de défense. Ainsi, les employés ne devraient jamais accepter une notification push pour s’identifier afin d’accéder aux programmes de l’entreprise, s’ils n’ont pas demandé l’accès à ce moment-là, ou si elle provient d’un autre emplacement. Dans le doute, il convient donc de contacter et d’informer les responsables informatiques et de désactiver les notifications en attendant.
- En ce qui concerne les notifications push, la technique du bombardement est souvent employée et exploitée au maximum dans les solutions MFA qui n’ont pas de validation préalable avec un mot de passe ou qui sont utilisées comme authentification unique sans mot de passe. Mais cela ne signifie pas qu’une entreprise ne doit jamais fournir un système de notification push à ses employés comme procédure MFA. Elle devrait fournir des moyens de contrôler le bombardement MFA ou au moins de surveiller son occurrence et de le bloquer.
Il est toutefois conseillé de déployer une solution avancée de protection et de gestion des identités capable de contrôler, à tout moment, quels employés ont choisi les notifications push et de les avertir s’ils en bloquent une, mais également de mettre en œuvre des mécanismes supplémentaires pour aider les employés s’ils reçoivent une avalanche de notifications, comme la possibilité de les bloquer pendant un certain temps. L’accès à cette solution de gestion des identités devrait également être protégé par un mot de passe afin qu’un pirate informatique ne puisse pas l’utiliser pour bombarder la cible, ce dernier devant d’abord connaître le mot de passe de cette solution.
Les entreprises ont ainsi un contrôle total sur les identités, les actifs, les comptes et les informations sans avoir à se soucier d’une usurpation d’identité par bombardement ou par d’autres techniques d’entrée dans leurs systèmes.