MFA Fatigue Attacks

Une attaque par fatigue MFA (MFA fatigue attack) transforme une mesure de sécurité en une arme contre les personnes qu’elle est censée protéger. Les attaquants bombardent les utilisateurs de notifications push d’authentification multifactorielle (MFA) répétées après avoir volé leurs identifiants de connexion. Au final, l’utilisateur ciblé, fatigué par ces interruptions constantes, accepte la demande de connexion, accordant ainsi l’accès à l’attaquant.

Une attaque par fatigue MFA est un type d’attaque d’ingénierie sociale contre un utilisateur légitime dans laquelle un attaquant utilise la persistance et la surcharge pour perturber la capacité de l’utilisateur à se connecter. Un attaquant peut obtenir des identifiants d’utilisateur valides en utilisant diverses méthodes, notamment le phishing, l’achat sur le Dark Web ou des méthodes de force brute pour tenter de se connecter.

Une fois que l’attaquant a obtenu des informations d’identification valides, il envoie un grand nombre de notifications push MFA à l’utilisateur ciblé à une fréquence élevée afin de l’agacer, de le désorienter et/ou de le fatiguer suffisamment pour qu’il approuve une fausse tentative de connexion simplement pour mettre fin au barrage de notifications.

Les attaques par fatigue MFA diffèrent des exploitations normales en ce sens qu’elles ne ciblent pas un bug logiciel ou une vulnérabilité du réseau, mais l’utilisateur du système. Le processus d’authentification fonctionne correctement, mais la personne derrière le système est suffisamment agacée, désorientée ou fatiguée pour prendre une mauvaise décision concernant sa tentative de connexion en raison du barrage constant de demandes d’authentification.

Également appelée « bombardement MFA », « spam push MFA » ou « bombardement de messages », l’attaque par fatigue MFA utilise les mêmes tactiques, quel que soit son nom. L’utilisateur reçoit plusieurs demandes d’authentification d’apparence légitime et, lorsqu’il sélectionne « approuver » pour l’une d’entre elles, il le fait sans y réfléchir suffisamment.

Brian Gleeson, de Proofpoint, résume bien la situation : « Parfois, les attaquants choisissent d’adopter une approche directe qui n’est pas très créative ni technique. Les attaques par fatigue MFA entrent dans cette catégorie. » Leur efficacité tient au fait que les demandes MFA sont courantes dans le travail quotidien. Les gens se connectent à différentes applications et plateformes plusieurs fois par jour. Lorsque les notifications push arrivent à un moment chargé ou atteignent une cible qui ne se doute de rien, les gens les acceptent souvent sans réfléchir. Les attaquants exploitent ces failles pour faire passer leurs fausses demandes pour des procédures de sécurité courantes.

Les attaques MFA basées sur la fatigue suivent une série d’événements prévisibles impliquant à la fois des tactiques techniques et des réactions humaines. Techniquement, cela semble simple. Ce qui rend cette technique efficace, c’est la façon dont les humains réagissent lorsqu’ils sont sous pression.

Étape 1 : compromission ou vol d’identifiants

L’attaque commence lorsque quelqu’un obtient des identifiants valides qui ne lui appartiennent pas. Le phishing, le credential stuffing contre les mots de passe réutilisés ou l’achat de grands volumes d’identifiants sur le dark web sont autant de moyens courants utilisés par les ennemis pour obtenir des noms d’utilisateur et des mots de passe. À ce stade, tout semble normal dans l’environnement, car l’attaquant utilise des identifiants « réels » appartenant à un utilisateur réel.

Étape 2 : la tentative de connexion déclenche l’authentification multifactorielle (MFA)

L’étape suivante pour l’attaquant consiste à utiliser les identifiants volés pour se connecter à une application cloud, un VPN, un portail SSO ou un fournisseur d’identité. La plateforme d’identité fait ce qu’elle est censée faire. Elle envoie un deuxième facteur, qui est généralement une notification push ou une invite dans l’application, au téléphone ou à l’application d’authentification de l’utilisateur. Il s’agit d’un processus de connexion normal pour la plateforme, et non d’une exploitation.

Étape 3 : demandes répétées (« bombardement »)

Plutôt que de s’arrêter après une seule tentative de connexion infructueuse, les pirates continuent à exploiter le volume en scriptant manuellement les tentatives afin de soumettre à plusieurs reprises leurs identifiants compromis, ce qui entraîne ensuite un barrage continu de demandes d’authentification multifactorielle envoyées à l’appareil de l’utilisateur toutes les quelques secondes ou minutes, et/ou de manière continue pendant des heures.

Étape 4 : fatigue, confusion ou sentiment d’urgence chez l’utilisateur

Au fil du temps, les demandes répétées fatiguent de plus en plus l’utilisateur, le rendent confus et/ou lui font craindre que quelque chose ne va pas. Lorsque les utilisateurs se trouvent dans cet état émotionnel et mental, ils ont tendance à approuver la demande d’authentification multifactorielle simplement pour mettre fin à la gêne causée par les notifications persistantes. Dans certains cas, les attaquants aggravent encore la situation en se faisant passer pour un représentant du service informatique ou du service d’assistance et en demandant à l’utilisateur d’approuver la demande d’authentification multifactorielle afin de « résoudre un problème » ou « éviter le verrouillage du compte ».

Étape 5 : accès non autorisé

Une fois qu’une seule invite MFA est approuvée, l’attaquant obtient un accès non autorisé à la ressource ciblée. Tant que l’attaquant maintient une session authentifiée active, il peut se déplacer latéralement et obtenir un accès non autorisé aux ressources, voler des informations sensibles, modifier les options de configuration et ajouter des accès supplémentaires sans être confronté à un autre défi MFA.

Dans de nombreux cas, la notification push MFA représente le seul défi d’authentification secondaire pour les utilisateurs. Par conséquent, la décision unique d’approbation ou de refus constitue une vulnérabilité importante pour les utilisateurs, que les acteurs malveillants savent exploiter.

Les attaques par fatigue MFA sont une préoccupation croissante, car elles ciblent l’une des couches de sécurité les plus fiables. La MFA par notification push devient la norme pour les applications cloud et les plateformes d’identité. Au lieu de se concentrer sur la technologie, les attaquants s’adaptent simplement et se concentrent sur la personne concernée. Cela déplace le problème technique (« la MFA est mal configurée ») vers le risque humain (« la MFA fonctionne comme elle le devrait, mais les utilisateurs reçoivent trop de notifications »).

Le problème est principalement dû au comportement des utilisateurs. Même les utilisateurs expérimentés et sensibilisés à la sécurité peuvent parfois se fatiguer, se laisser distraire ou agir par réflexe. Au cours d’une longue journée de travail ponctuée de notifications, il suffit d’un simple clic sur « approuver » pour qu’un pirate transforme un contrôle en point d’entrée. Comme le révèle une étude de Proofpoint, « près de la moitié des comptes piratés par des acteurs malveillants étaient configurés avec l’authentification multifactorielle (MFA). Pourtant, 89 % des professionnels de la sécurité considèrent la MFA comme une protection totale contre le piratage de compte ». Ce décalage entre la perception et la réalité est dangereux.

Une fois qu’un pirate informatique a obtenu les identifiants, il est très facile de créer des spams push MFA et d’être bien rémunéré pour cet effort. La barrière à la création d’une attaque réussie est beaucoup plus faible que le développement d’un exploit avancé. Il est relativement facile de créer un script qui tentera continuellement de se connecter et générera suffisamment de bruit pour que l’utilisateur abandonne.

La lassitude vis-à-vis de la MFA a été la principale cause des violations de données très médiatisées de sociétés telles que Cisco, Uber et Microsoft. Dans toutes ces violations, les utilisateurs ont accepté de fausses invites push sous la pression. Ces exemples démontrent que même une seule étape d’un processus « approuver/refuser » peut être contournée si les utilisateurs sont lassés par ce même processus.

De nombreuses organisations s’appuient entièrement sur l’authentification multifactorielle (MFA) par notification push comme dernière couche de protection. Lorsque les notifications push deviennent trop nombreuses ou routinières, les utilisateurs approuvent les demandes sans les examiner attentivement, ce qui compromet les contrôles que les responsables de la sécurité considèrent comme essentiels.

Une détection précoce permet d’arrêter les attaquants avant qu’ils n’obtiennent l’accès. Les équipes de sécurité et les utilisateurs finaux doivent être attentifs à ces signes avant-coureurs d’activité de connexion inhabituelle.

• Plusieurs notifications push MFA en peu de temps (sans tentative de connexion initiée par l’utilisateur). Si un utilisateur reçoit cinq, dix ou plus notifications push en peu de temps et qu’il n’essaie pas de se connecter, il est probable qu’un pirate utilise des identifiants volés pour attaquer le point de terminaison de connexion.
• Des invites MFA arrivant à des heures inhabituelles ou en dehors des heures de travail. Les demandes d’authentification à 2 heures du matin ou pendant les jours de vacances, lorsque l’utilisateur est hors ligne, suggèrent que quelqu’un d’autre tente d’accéder au compte depuis un autre fuseau horaire ou un autre endroit.
• Une MFA de type « Approuver/Refuser » sans informations contextuelles. Les invites qui ne fournissent pas de détails tels que l’appareil demandeur, l’emplacement, l’adresse IP ou un défi de correspondance de chiffres permettent aux utilisateurs d’approuver plus facilement sans examen approfondi.
• Tentatives de connexion à partir d’appareils ou d’emplacements que l’utilisateur ne reconnaît pas, suivies de demandes d’authentification multifactorielle. Les journaux d’authentification qui montrent des tentatives de connexion à partir d’un pays ou d’un appareil que l’utilisateur n’a jamais utilisé, ainsi que les notifications push, sont des signes évidents que le compte a été piraté.
• Messages répétés sur différents appareils ou services. Les pirates peuvent s’attaquer à plusieurs comptes ou plateformes en même temps pour augmenter leurs chances de réussite. Si vous recevez plusieurs demandes d’authentification multifactorielle en peu de temps provenant d’applications professionnelles, de VPN ou de services cloud, prévenez immédiatement quelqu’un.
• Les utilisateurs signalent recevoir des invites MFA qu’ils ne peuvent ni arrêter ni désactiver. Si un utilisateur légitime tente d’arrêter le flot de notifications, mais que les demandes continuent d’affluer, cela signifie que l’attaquant utilise des outils automatisés.
• Messages de suivi demandant à l’utilisateur d’approuver une demande MFA en attente. Les attaquants ont parfois recours au phishing vocal ou à l’envoi de messages en plus du bombardement MFA, se faisant passer pour des membres du service d’assistance afin d’amener les gens à accepter certaines choses pendant le chaos.

Ces indicateurs fournissent aux équipes SOC et informatiques des informations utiles qu’elles peuvent utiliser pour détecter d’éventuelles campagnes de lassitude MFA déjà en cours. Lorsque les équipes de sécurité recherchent des schémas tels que des augmentations soudaines de la vitesse de connexion, des emplacements géographiques étranges et des plaintes d’utilisateurs concernant un trop grand nombre de messages, elles peuvent intervenir avant qu’un attaquant ne prenne pied.

Pour mettre fin aux attaques par lassitude MFA, vous avez besoin à la fois de contrôles techniques et de personnes qui en ont conscience. L’objectif est de compliquer la tâche des attaquants qui utilisent le flux « approuver/refuser », tout en fournissant aux utilisateurs et aux équipes de sécurité de meilleurs outils pour détecter et stopper ces campagnes.

Utilisez des méthodes MFA résistantes au phishing

Les simples notifications push qui demandent uniquement aux utilisateurs d’approuver ou de refuser sont vulnérables de par leur conception. Les organisations doivent passer à des options MFA résistantes au phishing, telles que les invites push avec correspondance de chiffres, où les utilisateurs doivent saisir un code affiché sur l’écran de connexion dans leur application d’authentification. Les clés de sécurité matérielles (FIDO2/WebAuthn) et l’authentification par certificat éliminent complètement le point de décision humain, car elles s’appuient sur une preuve cryptographique plutôt que sur l’approbation de l’utilisateur.

Limiter le volume des demandes MFA et les tentatives de connexion

Il peut être plus facile d’atténuer le bombardement MFA en utilisant des limites de débit. Une méthode simple consiste à mettre en œuvre les restrictions suivantes : limitez le nombre de défis MFA (et donc d’attaques potentielles) que vous autorisez à partir d’un compte dans un court laps de temps (par exemple, 1 à 5 défis par heure). Lorsqu’un utilisateur dépasse ce nombre de tentatives, le système peut bloquer le compte pendant une courte période, alerter le personnel de sécurité et/ou exiger une authentification supplémentaire avant de permettre à l’utilisateur de se reconnecter.

Surveillez les journaux d’authentification pour détecter toute activité MFA anormale

Les équipes de sécurité doivent être en mesure d’identifier rapidement toute augmentation significative des demandes MFA, car cela indique un problème au niveau du compte de l’utilisateur. Les SIEM, les outils de détection des anomalies et les systèmes de détection des menaces d’identité peuvent signaler des schémas anormaux, tels que l’envoi simultané d’un grand nombre de notifications push à un utilisateur, des tentatives de connexion provenant d’emplacements inconnus ou des demandes d’authentification en dehors des heures de travail. L’identification précoce de ces schémas anormaux permet à l’équipe SOC d’intervenir et d’empêcher éventuellement l’utilisateur d’abandonner.

Sensibilisation et formation des utilisateurs

Même les meilleurs contrôles techniques ne fonctionneront pas si les utilisateurs ne connaissent pas la nature de la menace. Les programmes de sensibilisation à la sécurité doivent clairement indiquer que les attaques par fatigue MFA constituent une menace réelle et apprendre aux employés à ne jamais approuver les invites MFA inattendues, en particulier lorsqu’ils sont sous pression ou reçoivent de nombreuses notifications. Au lieu d’essayer d’arrêter les invites en en approuvant une, les utilisateurs doivent savoir qu’ils doivent immédiatement signaler tout comportement étrange.

Appliquez l’accès avec privilèges minimaux et restreignez les comptes à haut risque.

Si une attaque par lassitude MFA fonctionne, elle peut causer moins de dommages si vous suivez le principe du moindre privilège. Limitez les comptes administratifs et privilégiés aux seules personnes qui en ont besoin et rendez leur connexion plus difficile. Envisagez d’exiger des jetons matériels ou une authentification contextuelle pour les comptes de grande valeur. Cela limitera les dommages causés par une personne qui approuverait accidentellement une invite malveillante.

Adoptez une authentification contextuelle et adaptative.

Si vous utilisez uniquement une authentification multifactorielle push, vous disposez d’un point de défaillance unique. Avant d’accorder l’accès à quelqu’un, les organisations doivent appliquer les principes du moindre privilège et intégrer davantage d’authentification pour traiter les signaux de risque. Les systèmes d’authentification contextuelle vérifient des éléments tels que l’état du dispositif, la réputation IP, l’emplacement de l’utilisateur et ses comportements afin de déterminer si une tentative de connexion est réelle.

Par exemple, si quelqu’un tente de se connecter depuis un nouveau pays à 3 heures du matin à l’aide d’un appareil qui n’est pas reconnu, le système peut demander une preuve d’identité supplémentaire avant d’envoyer une invite MFA. Cela empêche les attaquants de déclencher une avalanche de notifications.

Proofpoint adopte une approche de défense en profondeur pour lutter contre les attaques par fatigue MFA en superposant plusieurs contrôles de sécurité. Cette solution à l’échelle de l’entreprise identifie les comportements de connexion suspects, prévient les attaques de phishing qui lancent des campagnes de bombardement MFA et apprend aux utilisateurs finaux à reconnaître les menaces avant qu’ils n’en soient victimes, réduisant ainsi la charge qui pèse sur les équipes de sécurité chargées de répondre aux attaques basées sur l’identité. Pour plus d’informations sur la manière de protéger votre organisation contre ce type de menaces, contactez Proofpoint.