Comprendre le MFA Bombing

Protéger contre les fraudes liées à l’usurpation de compte sans entraîner de lassitude liée au MFA en limitant les demandes dans un laps de temps spécifique, en exploitant les notifications en push avec une sélection de leur nombre, en utilisant une authentification basée sur le niveau de risque et/ou en passant au passwordless avec FIDO2.

Le MFA bombing est une tactique également appelée vecteur d’attaque que les acteurs malveillants utilisent pour usurper un compte. Parfois appelé inondation de MFA ou MFA flooding, il joue sur les émotions des utilisateurs en générant une lassitude liée au MFA. Concrètement, les attaquants profitent des utilisateurs en envoyant des notifications push rampantes. De nombreux utilisateurs refusent initialement les demandes mais finissent par s’agacer après en avoir reçu une toutes les trois secondes et finissent par approuver la demande.

Étant donné que l’authentification (MFA) est désormais le standard de sécurité des identités pour les organisations, les attaquants font évoluer leurs tactiques pour contourner le MFA. De nombreuses organisations encouragent l’utilisation du MFA pour la protection contre les menaces, mais s’appuyer sur les utilisateurs pour approuver manuellement les requêtes d’authentification est désormais plus risqué que jamais. Même lorsqu’elles ne sont pas ciblées par une attaque, les organisations reconnaissent rapidement qu’elles réduisent la productivité de leurs employés et leurs revenus en activant trop souvent le MFA. Plus de 56 % des consommateurs ont abandonné un compte ou une expérience en ligne car le processus de connexion était trop frustrant.¹

Donc, comment les organisations font-elles pour profiter des avantages qu’apporte le MFA dans ce contexte ? Il existe quatre moyens principaux pour démanteler le MFA bombing. Par ordre de complexité croissante, il s’agit de : 

1. Limiter les demandes de MFA dans un laps de temps spécifique 

2. Exploiter les notifications push avec une sélection de leur nombre 

3. Utiliser une authentification reposant sur le niveau de risque

4. Passer au passwordless avec FIDO2

Limiter les demandes de MFA dans un laps de temps spécifique

L’option la plus simple pour lutter contre le MFA bombing est de limiter le nombre de demandes envoyées à un utilisateur au cours d’une intervalle de temps spécifique. Même des utilisateurs chevronnés peuvent approuver une notification en push après en avoir reçu un dizaine, donc limiter le nombre de demandes à trois, par exemple, peut aider. Malheureusement, l’utilisateur doit toujours répondre à la notification, et de nombreux d’entre eux approuvent la première. Si limiter les demandes est la seule option disponible pour une organisation, il peut être raisonnable de l’envisager comme une solution provisoire. 

Notifications en push avec sélection de leur nombre

Un autre moyen simple de démanteler le MFA bombing est d’utiliser les notifications push avec une sélection de leur nombre. Cette méthode force la proximité en présentant un numéro à deux chiffres sur le terminal et demande à l’utilisateur de le sélectionner parmi une liste d’options. Pour beaucoup, recevoir une notification en push avec une sélection de leur nombre sans voir ce nombre sur le terminal accédant semblera suspect et les utilisateurs signaleront l’attaque. Toutefois, cette méthode de MFA peut encore générer une forme de lassitude et ouvrir la porte à une usurpation de compte.

Authentification basée sur le niveau de risque

En plus d’améliorer la configuration des demandes de MFA, l’authentification reposant sur le niveau de risque (RBA) est une option plus ciblée pour démanteler le MFA bombing. La RBA limite le besoin de MFA et fait varier sa méthode d’application sur la base de différentes conditions. Si les attaquants génèrent une lassitude liée au MFA, des politiques d’authentification fastidieuses mises en place par une organisation peuvent aussi en être la cause. La RBA est adaptative et aide à créer des politiques d’accès intelligentes en fonction des données saisies et des signaux de risque. Les décisions d’authentification sont ainsi plus intelligentes via un apprentissage des schémas de chaque utilisateur, terminal, lieu, réseau, etc. et en fournissant un score de risque. Les politiques de MFA utilisent ce score pour déterminer s’il est nécessaire d’approuver ou de renforcer l’authentification, et définir quelle méthode utiliser. Par exemple, si un utilisateur tente de se connecter depuis un terminal connu et depuis un lieu connu, le risque d’usurpation de compte est faible et aucun MFA n’est requis. Toutefois, si la tentative de connexion provient d’un terminal inconnu et depuis un lieu n’ayant jamais été utilisé auparavant, le risque de fraude est élevé et requiert un MFA avec un QR code. 

Avec les bons outils et une bonne configuration, les utilisateurs à faible risque ne subiront pas de lassitude liée au MFA, qu’elle soit causée par un acteur malveillant ou par l’organisation même. Si les demandes de MFA sont dans l’ensemble plus rares, la tentative d’un attaquant a moins de chance de rester inaperçue. Certains clients de Ping Identity ont indiqué une baisse de 65 % à 89 % de demandes de MFA lorsqu’ils utilisaient la RBA.² Découvrez le nouvel outil de détection RBA de Ping, PingOne Protect.

Passwordless avec FIDO2

FIDO2 (Fast Identity Online), le standard ouvert pour le chiffrement par clé publique, permet aux utilisateurs de s’authentifier de façon biométrique sur des clés de sécurité ou d’autres terminaux compatibles FIDO. Généralement considéré comme le moyen le plus sécurisé de s’authentifier, il force la proximité entre l’utilisateur et le terminal accédant tout en évitant les attaques man-in-the-middle et reverse proxy. Surtout, FIDO2 est l’épine dorsale de l’expérience passwordless, et il est donc extrêmement sécurisé et intuitif.

Malgré ses avantages, l’adoption de FIDO2 a été relativement lente et a rencontré de nombreux obstacles. La plupart de ces obstacles sont liés au coût et à la complexité. Néanmoins, FIDO2 demeure l’une des meilleures options pour démanteler le MFA bombing.

Découvrez ici comment résoudre les problèmes liés au passwordless.

Sécuriser les utilisateurs et leurs comptes ne doit pas entraîner pour vous une lassitude liée au MFA. Il existe plusieurs tactiques pour démanteler le MFA bombing, qui sont sécurisées et intuitives, allant de la limitation des demandes de MFA durant un laps de temps spécifique, de l’utilisation de notifications en push avec une sélection de leur nombre jusqu’à l’utilisation d’une authentification basée sur le niveau de risque et le passage au passwordless. Grâce à ces options, les sites e-commerce et les institutions financières peuvent empêcher les fraudes par usurpation de compte et proposer des expériences digitales exceptionnelles. Découvrez la page de Ping consacrée aux fonctionnalités de protection contre les menaces pour en savoir plus.

Sources :

1. Ping Identity, « 2021 Consumer Survey: Brand Loyalty is Earned at Login »

2. Ping Identity, 2023 Customer Verified-Outcomes, Customer Success Program

À propos de PingIdentity

Chez Ping Identity, nous croyons à la construction d’expériences d’entreprise à la fois sécurisées et transparentes pour tous les utilisateurs, sans aucun compromis. C’est la liberté digitale. Pour y parvenir, la plateforme PingOne Cloud fait de vous un artiste expérimenté capable de créer des parcours exceptionnels avec un simple canevas no-code. Vous pouvez offrir une authentification passwordless, protéger la confidentialité des utilisateurs, empêcher les fraudes, construire une architecture zero trust, et bien plus encore. Pour en savoir plus, rendez-vous sur www.pingidentity.com.