Blog WatchGuard

Phishing via MFA : la cyberattaque qui compromet les réseaux d'entreprise

Les cybercriminels maîtrisent la technique du phishing, qui vise à inciter les utilisateurs à révéler des informations confidentielles et à obtenir un accès non autorisé à leurs comptes afin de compromettre les réseaux d’entreprise. Un nouveau type d’attaque par phishing est apparu, connu sous le nom de phishing via MFA, qui parvient à contourner les principales mesures de protection déployées par les réseaux d’entreprise.

Le rapport 2022 de l’institut SANS sur la gestion des risques humains stipule que l’homme représente la dernière ligne de défense contre les cyberattaques. L’étude conclut notamment que la gestion des risques humains sera essentielle à la cybersécurité de demain, en particulier face aux menaces lancées pour accéder aux réseaux d’entreprise. Cette tendance croissante souligne la nécessité de mettre en œuvre une solution MFA (authentification multifacteur) anti-phishing.

En septembre de l’année dernière, Uber a été victime d’une cyberattaque perpétrée contre ses systèmes après qu’un pirate informatique a compromis avec succès le compte de l’un des sous-traitants de l’entreprise. En enquêtant sur l’incident, l’entreprise a conclu que le pirate avait probablement acheté le mot de passe du compte sur le Dark Web après que l’appareil personnel de la victime a été infecté par un malware et que ses identifiants de connexion ont été exposés. Cette faille a été exploitée par le pirate, qui a lancé une attaque par phishing via MFA et a pu se connecter en profitant de la fatigue MFA de l’utilisateur, qui a fini par répondre à l’une des demandes factices venant de l’attaquant.

Cette anecdote témoigne de la plus grande vulnérabilité de la cybersécurité : les individus. Le fait est que les solutions de sécurité nécessitent souvent une interaction humaine, et les individus sont victimes d’escroqueries telles que l’ingénierie sociale ou Le phishing. 

Comment fonctionne le phishing via MFA ? 

Dans une attaque par phishing via MFA, un cybercriminel tente d’inciter les utilisateurs à révéler les informations confidentielles qu’ils utilisent à des fins d’authentification ou pour intervenir dans l’approbation frauduleuse de la demande de connexion produite par leur solution MFA. 

Une attaque par phishing via MFA réussie commence par obtenir les identifiants de connexion d’une cible. Le vol d’identifiants de connexion peut se produire par plusieurs moyens, y compris une combinaison des éléments suivants : 

  • Attaques par phishing : Les cybercriminels utilisent souvent de faux emails et sites Web (qui paraissent authentiques) pour obtenir des informations sensibles auprès de victimes non averties. Ils peuvent ensuite utiliser ces informations pour voler les identifiants de connexion.

  • Attaques automatisées : utilisation de logiciels malveillants pour accéder aux identifiants de connexion d’un utilisateur à son insu. La demande croissante d’infostealers sur le Dark Web se traduit par une stratégie à deux niveaux impliquant d’une part le déploiement de malwares pour obtenir les identifiants de connexion d’un utilisateur, et d’autre part une technique dite fatigue MFA pour accéder aux réseaux d’entreprise.

  • Attaques par force brute : dans le contexte des attaques par force brute, les cybercriminels utilisent des programmes automatisés qui arrivent à deviner les mots de passe, les noms d’utilisateur et d’autres identifiants de connexion donnant accès à différents comptes. Dans le cadre d’attaques par force brute de type Credential Stuffing, les paires nom d’utilisateur-mot de passe obtenues via une violation de données sur un autre site sont ensuite testées.

     
  • Ingénierie sociale : les pirates informatiques cherchent à gagner la confiance des utilisateurs grâce à l’ingénierie sociale afin de les manipuler et d’obtenir leurs identifiants de connexion.

Une fois que le pirate obtient les identifiants de connexion de sa cible en déployant ces tactiques, il peut utiliser des méthodes similaires pour lancer une attaque de phishing via MFA. Le phishing par SMS ou par email est utilisé pour tenter d’inciter les cibles à révéler le code d’authentification MFA envoyé via ces canaux. De même, les pirates informatiques peuvent usurper l’identité d’une personne de confiance (telle qu’un employé d’une entreprise) afin de demander à l’utilisateur de révéler ses identifiants de connexion ainsi que son code MFA.

Si ce type d’attaque est généralement plus efficace pour les solutions MFA qui utilisent des codes ponctuels, il peut être plus difficile d’amener l’utilisateur à approuver une demande de l’application sur son appareil mobile. C’est pourquoi la fatigue MFA devient populaire. En attestent les attaques visant le réseau de grandes entreprises comme Uber ou Cisco.

Grâce à cette tactique, les cybercriminels peuvent envoyer plusieurs notifications push à l’appareil de leur cible. Submergés par le nombre de demandes d’authentification MFA qu’ils reçoivent, les utilisateurs peuvent finir par les ignorer, désactiver cette solution de sécurité, voire accorder l’accès par inadvertance, devenant ainsi victimes d’une attaque par phishing via MFA.

Les entreprises ont besoin d’une solution MFA anti-phishing 

Face à l’intensification de ce nouveau type d’attaque, les entreprises ont besoin d’une solution qui protège de la fatigue MFA. Le déploiement d’un outil qui permet aux utilisateurs de prendre des mesures s’ils reçoivent des notifications push inattendues réduit le risque d’approuver accidentellement un accès non autorisé.

Pour les MSP qui cherchent à protéger leurs clients, l’ajout à leur portefeuille d’une solution MFA anti-phishing représente un avantage concurrentiel par rapport à d’autres entreprises du même type. 

Cependant, l’ajout de cette fonctionnalité aux solutions existantes doit prendre en compte les réticences de l’utilisateur final. Selon le niveau de réticence, l’utilisateur final peut choisir d’éviter ou d’ignorer la sécurité, laissant les réseaux d’entreprise exposés à des pirates informatiques. La solution AuthPoint de WatchGuard a évolué afin de répondre aux nouvelles menaces sophistiquées et permet désormais aux utilisateurs de désactiver les notifications push, réduisant ainsi le risque de fatigue MFA. Sans avoir à intégrer de facteurs de vérification supplémentaires, si un utilisateur refuse la première demande d’authentification, la nouvelle fonctionnalité propose de désactiver complètement le système de demande, empêchant les utilisateurs d’accorder accidentellement l’accès au réseau d’entreprise. La combinaison de plusieurs fonctionnalités contribue à améliorer la sécurité et éviter tout accès non autorisé.

Le phishing via MFA est un exemple de la façon dont les cybercriminels trouvent toujours de nouveaux moyens d’atteindre leurs cibles. Aujourd’hui, la seule façon de prévenir ces attaques d’un point de vue technologique consiste à mettre en œuvre une solution MFA anti-phishing qui réduit le risque d’être affecté par une erreur humaine et empêche les cybercriminels d’accéder aux réseaux d’entreprise.

Si vous souhaitez en savoir plus sur l’authentification multifacteur et sur la manière dont cette technologie aide à sécuriser les réseaux d’entreprise, retrouvez notre billet dédié au binôme MFA et sécurité des endpoints.