L'authentification multifactorielle (MFA) est la norme dans les bureaux du monde entier. Nous connaissons tous le principe : vous utilisez votre nom d'utilisateur (souvent, et de manière inopportune, votre adresse électronique) et, éventuellement, comme mot de passe, le nom de votre premier chien et les quatre derniers chiffres de votre numéro de sécurité sociale.
Ce n'est pas vraiment infaillible, mais souvent l'utilisateur n'est pas trop inquiet. Dans son esprit, il sait que si le pirate parvient à trouver ses identifiants de connexion à l'aide de divers outils ou techniques, il devra encore trouver le moyen de contourner la deuxième couche de sécurité de l'AMF.
Ce que l'utilisateur ne réalise peut-être pas, c'est que les pirates informatiques ont mis au point de nombreuses méthodes éprouvées pour y parvenir, notamment les attaques par ingénierie sociale, le spear phishing et les attaques par déni de service (DDoS). Les pirates disposent d'un autre outil favori, qui repose sur le fait que les utilisateurs sont suffisamment fatigués, épuisés ou ennuyés pour "céder". Et qui n'est pas fatigué ou agacé dans le sprint final pour emballer les cadeaux du quatrième trimestre et des fêtes de fin d'année ? La technique que les pirates informatiques aiment employer en cette période de l'année s'appelle le "push bombing".
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) décrit le "push bombing" comme une situation où l'utilisateur est bombardé de notifications push jusqu'à ce qu'il appuie sur le bouton "accepter".
"C'est un outil étonnamment efficace, bien qu'il soit très peu technologique et basé sur la force brute", déclare Sandy Duncan, expert en cybersécurité à Cincinnati, dans l'Ohio. Sandy Duncan ajoute que les pirates exploitent plusieurs facteurs lorsqu'ils utilisent une campagne de push bombing.
"Le principal attrait du push bombing est qu'il est peu coûteux et que si vous choisissez le moment le plus inopportun de la journée pour lancer une telle attaque, vos chances de réussite sont plus grandes", explique Sandy Duncan. Duncan fait remarquer que les bombardiers aiment cibler certains moments précis de la journée :
Le début de la journée de travail : "Il n'y a rien de plus ennuyeux que de vouloir commencer sa journée de travail et d'avoir à se frayer un chemin à travers un tas d'invites", souligne M. Duncan.
Juste avant le déjeuner : "Qui n'a pas envie de terminer son travail et d'aller déjeuner ? demande Duncan.
Au milieu de la nuit : "Croyez-le ou non, c'est efficace", affirme M. Duncan. "Certaines personnes, y compris le personnel essentiel et d'autres, vérifient leur courrier électronique ou se connectent la nuit, et il y a ceux qui veulent simplement se connecter et se rendormir. S'ils reçoivent une série de sollicitations, ils pourraient être tentés de céder pour pouvoir se rendormir."
L'outil de push-bombing est si efficace pendant le sprint vers les vacances que la CISA l'a inclus dans sa liste des menaces MFA à surveiller. Afin d'ajouter une couche pour contrecarrer le push-bombing, la CISA recommande l'utilisation d'un OTP basé sur un jeton.
Selon l'avertissement de la CISA :
"Dans la notification push mobile, l'utilisateur accepte une invitation "push" envoyée à l'application mobile pour approuver une demande d'accès. Lorsque la correspondance des numéros est mise en œuvre, il y a une étape supplémentaire entre la réception et l'acceptation de cette invitation : l'utilisateur doit saisir les numéros de la plateforme d'identité dans l'application pour approuver la demande d'authentification".
Selon M. Duncan, la MFA évolue, mais les techniques des pirates aussi.
"La nature humaine a toujours été le maillon faible de la cybersécurité", ajoute M. Duncan. "Les pirates savent que les gens sont fatigués, agacés et parfois insensibles aux demandes constantes de MFA ; s'ils sont suffisamment fatigués, les pirates comptent sur les utilisateurs pour entrer leurs informations afin de se débarrasser de cette invitation".
Alors, comment éviter d'être victime d'une campagne de push-bombing ? M. Duncan recommande les mesures suivantes :
Plus une personne est informée, plus elle peut être vigilante. "Certaines personnes ne savent même pas qu'il s'agit d'un problème et supposent que les messages incessants sont une forme de sécurité trop musclée et font ce qu'elles peuvent pour s'en débarrasser", explique M. Duncan. La formation des utilisateurs est donc le moyen le moins coûteux d'alerter les gens sur la menace que représente le "push-bombing".
Il s'agit d'une méthode efficace pour lutter contre la lassitude de l'AMF et les campagnes de push-bombing. La correspondance des numéros est un paramètre qui oblige l'utilisateur à saisir les numéros de la plateforme d'identité dans son application pour approuver la demande d'authentification. Le site de la CISA fournit des informations sur la mise en œuvre de la correspondance des numéros dans les applications d'AMF. Les figures 3 et 4 présentent la vue de l'utilisateur sur l'écran de connexion d'une plateforme d'identité qui utilise la correspondance des numéros. Microsoft number matching et DUO sont deux des plateformes les plus populaires.
"Bien sûr, cette technique n'est pas à l'abri du phishing, mais c'est un bon palliatif. Malheureusement, chaque fois que nous semblons prendre de l'avance sur les pirates, ils nous rattrapent", explique M. Duncan.
Par Kevin Williams
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour