L’authentification multifactorielle (MFA) est récemment devenue un élément essentiel du paysage numérique. La raison en est simple : le MFA offre un niveau de protection supplémentaire lorsque vous souhaitez vous connecter à certains comptes.
Pourtant, nombreux sont ceux qui ne sont pas fans du MFA : l’ouverture de session prend plus de temps et nécessite souvent l’utilisation d’un autre appareil, comme votre téléphone.
Mais cette couche de protection supplémentaire est plus que nécessaire : si l’on consulte les rapports sur la cybersécurité, on constate une augmentation considérable de la cybercriminalité au cours des dernières années. L’année dernière, par exemple, il y a eu en moyenne 4 000 attaques par seconde sur une identité Microsoft Cloud.
Par jour, cela représente 345 millions d’attaques. Et il ne s’agit que de Microsoft Cloud…
Pourquoi MFA ?
Notre identité dans le nuage devient de plus en plus une extension de notre identité réelle.
Il suffit de penser à toutes les applications, plateformes et sites web où nous enregistrons des données personnelles sensibles et où notre nom d’utilisateur (identité) équivaut à notre e-mail. Lorsque des attaquants parviennent à se connecter à votre compte, ils disposent d’emblée de toutes vos données personnelles sensibles.
Rien ne les empêche alors d’utiliser ces données :
- Les utiliser pour voler votre identité ;
- Les vendre ;
- Les prendre en otage et demander une rançon pour les libérer. C’est ce qu’on appelle une attaque par ransomware ;
- Les utiliser pour vous nuire ou nuire à votre entreprise (réputation) en envoyant des messages en votre nom ;
- …
Une attaque réussie contre votre identité dans le nuage peut donc avoir d’énormes conséquences financières et juridiques.
Compte tenu du nombre croissant d’attaques, la question n’est pas tant de savoir si vous serez un jour la cible d’une attaque, mais quand. Si l’on ajoute à cela la gravité des conséquences, on comprend pourquoi la protection supplémentaire offerte par le MFA est absolument essentielle.
Comment le MFA vous protège-t-il exactement ?
En mettant en place et en déployant des applications MFA, telles que l’application Microsoft Authenticator, nous allons déjà parer à une grande partie des attaques possibles. Nous allons, comme ils le disent joliment, réduire le vecteur d’attaque. En effet, nous allons laisser plusieurs facteurs déterminer si c’est bien vous qui essayez de vous connecter.
En effet, cela signifie que remplir un mot de passe n’est plus suffisant et qu’il faut donc un facteur de sécurité supplémentaire, tel qu’un message texte envoyé à votre téléphone ou un code via l’application Microsoft Authenticator. Cela prend un peu plus de temps, mais la sécurité supplémentaire en vaut la peine.
Dans l’image ci-dessous, par exemple, nous pouvons voir que l’utilisation d’un mot de passe en combinaison avec l’application Microsoft Authenticator peut déjà fournir une sécurité forte à très forte :
J’ai le MFA ! Nous sommes maintenant protégés à 100 %… Ou le sommes-nous ?
Bien que l’utilisation de l’authentification multifactorielle renforce considérablement la sécurité d’une identité en ligne, nous ne pouvons et ne devons pas supposer qu’elle nous protégera totalement.
En effet, les pirates informatiques cherchent toujours des moyens de manipuler et/ou de contourner la sécurité supplémentaire. Bien entendu, ces méthodes et techniques demandent déjà plus d’efforts lorsque les pirates veulent s’introduire à travers une couche de MFA.
À l’heure où nous écrivons ces lignes, des études montrent que jusqu’à 99,9 % des attaques peuvent être évitées en utilisant la “meilleure” méthode ci-dessus, la méthode “sans mot de passe” (voir l’image et le tableau).
Il existe également une différence entre les méthodes d’authentification. Une application Authenticator offre une sécurité plus forte que le SMS, mais il y a même une différence entre les applications Authenticator. Des applications telles que Bitwarden, Google Authenticator et d’autres ont certainement une valeur ajoutée, mais offrent une couche de protection moins solide que l’application Authenticator de Microsoft.
“Une application Authenticator offre une sécurité plus forte que le SMS, mais il y a même une différence entre les applications Authenticator.”
99,9%… Quel danger y a-t-il alors ?
0,1 % garantit tout de même 345 000 attaques par jour. D’ailleurs, ces attaques constituent la plus grande menace, car elles tentent également de contourner le MFA.
Prêt à aller plus loin ? Nous examinons brièvement quelques-unes des méthodes utilisées par les cybercriminels pour contourner le MFA :
- Les criminels peuvent utiliser un robot OTP (One-Time Password). Ils tentent alors d’obtenir ou d’intercepter un mot de passe à usage unique (c’est-à-dire un code à usage unique donné lors de la réinitialisation d’un mot de passe ou de la vérification de votre compte).
Pour ce faire, on utilise souvent ce que l’on appelle des “robocalls”, qui vous contactent et vous informent que votre compte présente une activité suspecte. Vous devez alors vérifier votre compte en entrant un OTP, ce qui permet au cyber-attaquant de s’emparer de votre code OTP et de se connecter sans problème à votre compte. Outre l’utilisation de robocalls, l’envoi de courriers d’hameçonnage est également un moyen courant de s’emparer du code OTP de votre compte.
- Une deuxième méthode utilisée par les cybercriminels pour contourner le MFA consiste à tirer parti de ce que l’on appelle la lassitude à l’égard du MFA. Dans ce cas, le pirate essaie de vous inonder de questions MFA (“MFA prompts”) à tel point que, en raison du risque de répétition, vous êtes moins vigilant et approuvez un accès sans le vérifier, ce qui permet au pirate d’obtenir un accès complet à votre compte, causant souvent de graves problèmes. Bien que des sociétés comme Microsoft puissent rapidement détecter et bloquer ces méthodes, il est toujours important d’être vigilant pendant le processus du MFA et de valider exactement ce pour quoi vous devez donner votre validation.
- Réutilisation ou duplication des jetons actifs. Dans cette méthode un peu plus complexe, l’attaquant tentera de dupliquer votre mot de passe actuel et votre session MFA en utilisant les méthodes ci-dessus (fatigue MFA, hameçonnage, logiciels malveillants, etc.). Cette méthode est de plus en plus répandue.
Il existe un certain nombre d’autres méthodes par lesquelles les cybercriminels tentent de contourner l’authentification multifactorielle, mais nous vous présentons ici nos trois principales méthodes.
Il est important de comprendre que les pirates informatiques deviennent de plus en plus intelligents et qu’ils développeront donc de nouvelles méthodes pour pénétrer dans votre compte, même s’il est protégé par le MFA.
Comment tirer le meilleur parti du MFA ?
Enfin, nous sommes heureux de vous proposer quelques bonnes pratiques concrètes qui vous permettront de mieux protéger l’utilisation de votre identité en ligne :
Utilisez des applications Authenticator telles que Microsoft Authenticator et ne comptez pas uniquement sur l’utilisation d’un SMS comme couche de protection supplémentaire. Un SMS est déjà une amélioration, mais il est moins sûr qu’une application Authenticator ;
✅Ne jamais partager les codes de sécurité ;
✅Utiliser des gestionnaires de mots de passe, tels que LastPass, Bitwarden et Keeper ;
✅Choisissez des mots de passe complexes pour vos comptes. C’est un cliché, mais un mot de passe qui contient à la fois des lettres majuscules et minuscules, des chiffres et des caractères spéciaux est en effet beaucoup plus sûr. L’utilisation d’acronymes ou de sigles comme mots de passe est un moyen populaire pour vous aider à vous souvenir de mots de passe complexes ;
✅Créer un nouveau mot de passe unique pour chaque compte. De cette façon, vous évitez la violation de plusieurs comptes lorsqu’un pirate découvre un seul mot de passe.
Enfin, il est également essentiel que les entreprises et les employeurs discutent régulièrement avec le service informatique ou le partenaire des formations internes ou externes possibles en matière de cybersécurité pour le personnel et la direction.
Vous avez des questions à ce sujet ? N’hésitez pas à nous contacter par courriel (support@flexamit.com) ou par téléphone (03 500 10 10).
