Attaques contre le MFA : des normes spécifiques et la biométrie peuvent les contrer
Si le MFA (l'authentification multifacteur) est par principe plus sûr que l'accès par mot de passe unique, toutes les solutions MFA ne se valent pas. Chacune doit être correctement configurée et gérée pour empêcher les cybercriminels de la contourner.
C'est statistiquement prouvé, un accès par mot de passe unique représente le cyber-risque le plus élevé pour les individus comme pour les organisations. Un mot de passe peut être aisément compromis via différents vecteurs d'attaques, tels que l'ingénierie sociale et le phishing, puis être revendu en ligne.
L'adoption généralisée du télétravail, dans un contexte de pandémie mondiale, a poussé les organisations à mettre en oeuvre une sécurité plus stricte, notamment via la mise en place de solutions d'authentification multifacteur (MFA).
Proposées depuis plusieurs décennies, ces dernières s'adaptent à chaque secteur et à chaque organisation. Pourtant, si le MFA est par principe plus sûr que l'accès par mot de passe unique, toutes les solutions MFA ne se valent pas. Chacune doit être correctement configurée et gérée pour empêcher les cybercriminels de la contourner.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Le principe du MFA est de rendre la tâche d'un cybercriminel, muni par exemple d'un simple mot de passe volé, beaucoup plus difficile. Elle exige des facteurs multiples lors de l'étape de l'authentification, à savoir la combinaison d'un élément qui vous est connu, d'un élément dont vous disposez, d'un élément qui vous définit et d'un élément qui définit ce que vous faites.
Malheureusement, lorsque le MFA est basé sur deux facteurs dits faibles, tels qu'un mot de passe (élément qui vous est connu et dont vous pouvez facilement vous souvenir) et une notification push mobile (délivrée sur un outil dont vous disposez, comme une application d'authentification mobile), elle peut toujours être compromise.
Par exemple, un utilisateur malveillant peut en étape 1, utiliser une attaque par dictionnaire, c'est-à-dire tenter de pénétrer par effraction dans un ordinateur ou un serveur en utilisant systématiquement tous les mots d'un dictionnaire donné pour trouver un mot de passe.
Puis, lorsqu'il rencontre une étape de vérification à l'aide du MFA, il va utiliser le phishing par notification push pour bombarder et tromper l'utilisateur afin qu'il approuve les demandes répétées. Cette technique est communément appelée « Fatigue MFA »et a été récemment utilisée par un adolescent pour perpétrer une attaque réussie sur Uber.
La bonne nouvelle, c'est qu'il existe des solutions de MFA résistantes au phishing, basées sur les normes de la suite de spécifications Fast Identity Online (FIDO 2.0), laquelle inclut la prise en charge de l'authentification sans mot de passe. De plus, il existe des options matérielles telles que les normes et spécifications des cartes à puce, résultat du travail de la Secure Technology Alliance.
De nombreuses solutions MFA utilisent l'élément qui vous définit comme facteur d'authentification.
La beauté de la biométrie réside dans le fait qu'elle possède les caractéristiques fondamentales suivantes :
> Universelle
Toute personne utilisant un système ou une application est censée disposer de cette caractéristique commune (identification faciale, digitale ou vocale, ...)
> Unique
Chaque personne possède des aspects uniques, différents et distincts de la caractéristique (traits du visage, creux et bosses des empreintes digitales, ton et intonation de la voix, ...)
> Permanente
La caractéristique est raisonnablement stable, permanente et invariable dans le temps pour en assurer l'adéquation
> Collectable
L'ensemble des caractéristiques peut être acquis, mesuré et traité facilement lors de la capture
> Défendable
La caractéristique peut être protégée contre les abus, les mauvaises utilisations, le vol, l'imitation et la substitution
> Performante
La caractéristique, lorsqu'elle est combinée à la mise en correspondance et à la reconnaissance du vivant, est performante en termes de précision, de rapidité, d'échelle, de facilité d'utilisation et d'efficacité
> Adoptable
La population censée utiliser ses caractéristiques personnelles est prête à les adopter.
Abstraction faite des critiques formulées à l'encontre de la biométrie (partialité, collecte et utilisation abusive, respect de la vie privée et surveillance), il faut savoir que les cybercriminels utilisent déjà des types d'attaques par présentation (DAP) tels que les « deepfakes » et l'usurpation pour la contourner.
Bien que cela puisse sembler tout droit sorti d'un scénario de film, les institutions financières et les banques ont connu ces dernières années des fraudes sans précédent lors de la création de nouveaux comptes, de demandes de prêts, de paiements et de contestations de transactions.
Ces secteurs, et d'autres très réglementés, sont légalement tenus de prouver l'identité de leurs clients et de procéder à des vérifications, ce que l'on appelle la connaissance électronique du client (electronic Know Your Customer - eKYC).
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Malheureusement, non seulement de nombreux demandeurs légitimes ne parviennent pas à achever le processus de preuve et de vérification en raison de sa complexité, mais des cybercriminels se font passer pour des personnes réelles et utilisent des données synthétiques pour « masquer » leur identité dans de faux documents et lors de l'enregistrement biométrique.
Heureusement, il est possible de contrecarrer les deepfakes et l'usurpation d'identité grâce à des techniques (telles que la reconnaissance passive du vivant) qui sont indétectables par les cybercriminels et qui réduisent leur taux de réussite. Il existe plusieurs laboratoires d'essai et de certification tiers qui ne se contentent pas de valider les solutions des fournisseurs, mais qui valident également la mise en oeuvre de la solution pour en assurer un déploiement efficace.
Le mois dernier, la troisième édition du Handbook of Biometric Anti-Spoofing (Manuel de l'anti-usurpation biométrique) a permis de proposer un périmètre plus large de méthodes de détection des attaques par présentation (DAP) pour une gamme de modalités biométriques, y compris la reconnaissance faciale, par empreintes digitales, de l'iris, vocale, des veines et de la signature.
Il ne fait aucun doute que le MFA offre aux organisations une amélioration significative de la protection par rapport aux mots de passe. Cependant, comme la plupart des technologies de cybersécurité, le MFA n'est pas à l'abri du bras de fer permanent entre les cybercriminels et les organisations. Ces dernières doivent réfléchir soigneusement à la solution qu'elles choisissent et à la manière dont elle est mise en oeuvre pour éviter d'être victimes des dernières menaces.
Sur le même thème
Voir tous les articles Cybersécurité