Quel type d’attaques l’authentification multifacteur peut-elle empêcher ?

En 2020, la cybercriminalité a coûté plus de mille milliards de dollars, 37 % des entreprises ont été victimes d’attaques par rançongiciel et 61 % ont subi des attaques par logiciels malveillants. Ces chiffres montrent que les organisations sont confrontées à un niveau de cybercriminalité élevé. Pour protéger leurs réseaux, systèmes et données, elles ont besoin de contrôles de cybersécurité et de méthodes comme l’authentification multifacteur (MFA).

Mais contre quels types de cyberattaques l’authentification MFA vous protège-t-elle ?

• Hameçonnage classique
• Hameçonnage ciblé
• Enregistreurs de frappe
• Bourrage d’identifiants
• Attaque par force brute et par force brute inversée
• Attaques de l’intercepteur

Les systèmes d’authentification à un seul facteur traditionnels ne demandent qu’un seul facteur de vérification, c’est-à-dire un mot de passe, pour accéder à un système ou à une application. Les hackers peuvent facilement dérober ces mots de passe, et pirater le système d’une entreprise.

Les systèmes MFA requièrent deux facteurs ou plus pour vérifier l’identité d’un utilisateur et lui donner accès à un compte. L’authentification multifacteur garantit qu’un utilisateur autorisé est la personne qu’il prétend être, ce qui limite la possibilité de tout accès non autorisé. C’est pour toutes ces raisons que l’authentification MFA est beaucoup plus efficace qu’un simple mot de passe pour protéger les systèmes.

Pour comprendre comment l’authentification multifacteur protège les systèmes contre les différents types de cyberattaques, passons-les en revue :

Hameçonnage classique

En 2020, 75 % des entreprises du monde entier ont subi une attaque par hameçonnage. L’hameçonnage était également l’attaque la plus courante constatée pour les violations de données.

Lors d’une attaque par hameçonnage, les e-mails sont utilisés comme une arme. Le cybercriminel prétend être une personne à laquelle la victime ferait confiance en temps normal, comme une administration ou une banque. Il crée ensuite un e-mail frauduleux avec une pièce jointe ou un lien malveillant qui semble provenir d’une source fiable.

L’objectif est de piéger la victime pour qu’elle effectue une action à l’avantage du pirate. Il peut par exemple demander à la victime de se connecter à l’aide de ses informations d’identification et de réaliser des transactions en cliquant sur le (faux) lien fourni. Le hacker usurpe les informations d’identification de l’utilisateur, se connecte au site Web authentique à sa place et lui vole son argent.

Hameçonnage ciblé : le pirate cible des individus ou des entreprises spécifiques avec des messages bien rédigés, crédibles et pertinents. Il utilise souvent du contenu personnalisé, comme un nom d’utilisateur, ou fait référence à une action utilisateur récente (un achat en ligne par exemple) ou un événement (comme un mariage) pour rendre le message plus crédible.

Tout comme avec l’hameçonnage classique, les e-mails d’hameçonnage ciblé incluent un appel à l’action convaincant, généralement destiné à piéger les utilisateurs pour qu’ils révèlent des données sensibles, par exemple les identifiants de leur compte ou des informations financières.

Le harponnage de cadre est un type d’hameçonnage ciblé qui vise des victimes haut placées, comme les responsables ou les directeurs. Ces individus sont souvent plus sensibilisés à la cybersécurité. Par conséquent, les tactiques d’hameçonnage « normales » ne fonctionnent généralement pas sur eux. C’est pourquoi les personnes malveillantes ont recours à des méthodes plus sophistiquées et à des messages frauduleux personnalisés, personnellement adressés à la victime. Les pirates donnent un caractère urgent à leur message pour forcer la victime à agir, par exemple à ouvrir une pièce jointe qui installe un logiciel malveillant, ou à envoyer un virement.

Enregistreurs de frappe

Un enregistreur de frappe est un type de programme de surveillance ou de logiciel espion. Les cybercriminels installent des enregistreurs de frappe sur les appareils des victimes, souvent par l’intermédiaire d’un virus. Le programme capture toutes les saisies de la victime et enregistre ses noms d’utilisateur, mots de passe, réponses aux questions de sécurité, données bancaires et de cartes bleues, sites visités, etc. Les cybercriminels utilisent ces informations sensibles à des fins malveillantes.

Attaques par force brute, dictionnaire et bourrage d’identifiants

Lors d’une attaque par force brute, le cybercriminel utilise un programme pour générer et saisir autant de combinaisons nom d’utilisateur/mot de passe que possible, dans l’espoir que l’une de ces paires lui permettra d’accéder au système de l’entreprise. Les attaques par force brute sont très courantes et représentent nombre d’avantages pour les pirates :

• Placer des publicités indésirables sur des sites Web pour gagner de l’argent en cas de consultation de ces dernières

• Infecter l’appareil des visiteurs d’un site avec un logiciel espion de suivi des activités, voler leurs données et les vendre aux marketeurs (ou sur le dark web)

• Pirater les comptes des utilisateurs pour leur voler leurs données personnelles, leurs informations financières ou leur argent

• Répandre des logiciels malveillants ou détourner les systèmes des entreprises pour interrompre les opérations

Lors d’une attaque par force brute inversée, le hacker essaie des mots de passe courants comme « motdepasse » ou « 123456 » pour tenter d’accéder par force brute au compte associé à un nom d’utilisateur et à tous les comptes associés.

Les attaques par dictionnaire sont un type courant d’attaques par force brute. Le pirate utilise un dictionnaire de mots de passe possibles et les essaie tous pour obtenir un accès.

Une attaque par bourrage d’identifiants est un type d’attaque par force brute qui exploite également les mots de passe. De nombreux utilisateurs se servent souvent du même nom d’utilisateur et/ou mot de passe pour plusieurs comptes. Les pirates s’engouffrent dans cette faille pour perpétrer des attaques par bourrage d’identifiants, pendant lesquelles ils volent des informations d’identification et tentent de les utiliser pour accéder à un grand nombre de comptes. Ils parviennent parfois à obtenir des identifiants dans une entreprise, soit grâce à une fuite de données, soit sur le dark web, et ils les utilisent pour accéder aux comptes utilisateur d’une autre entreprise. Ils le font dans l’espoir de pouvoir utiliser quelques identifiants identiques pour :

• Vendre un accès aux comptes compromis

• Voler des identités

• Commettre une fraude

• Voler des informations sensibles à l’entreprise, par exemple des secrets, des informations personnelles identifiables (PII), des informations financières, des données de propriété intellectuelle, etc.

• Espionner l’entreprise (espionnage industriel)

Attaques de l’intercepteur

Lors d’une attaque de l’intercepteur, le pirate écoute les échanges de l’utilisateur avec une autre partie. Il observe ou intercepte les communications entre ces parties pour voler les identifiants ou les informations personnelles de l’utilisateur, corrompre ses données ou prendre le contrôle de la session pour saboter les communications.

Tous ces types de cyberattaques impliquent l’obtention d’identifiants de compte. Avec une authentification multifacteur, les utilisateurs doivent fournir des informations ou des identifiants supplémentaires pour obtenir l’accès à un compte. Par conséquent, même si un hacker parvient à voler des mots de passe, il est peu probable qu’il réussisse également à voler ou compromettre les autres facteurs d’authentification requis par la MFA. C’est pourquoi ce type d’authentification peut bloquer les cybercriminels et lutter efficacement contre de nombreux types de cyberattaques, notamment :

Hameçonnage classique, hameçonnage ciblé et harponnage de cadre

Un pirate peut lancer une attaque par hameçonnage pour voler les identifiants d’un utilisateur. Mais, si le compte de l’utilisateur est protégé par la MFA, ce pirate ne pourra pas y accéder. En effet, un e-mail d’hameçonnage ne permet pas d’obtenir les autres facteurs d’authentification, comme les mots de passe à usage unique (OTP) envoyés sur un autre appareil (par exemple un téléphone mobile), les empreintes digitales ou d’autres facteurs biométriques requis pour accéder au système.

Quand un pirate tente de piéger un utilisateur pour qu’il saisisse ses identifiants, certains types d’authentification multifacteur comme WebAuthn demandent que l’utilisateur entre un Yubikey ou une empreinte digitale depuis le système sur lequel il se connecte. Ces détails ne peuvent pas être capturés par le hacker, ce qui protège le système et l’utilisateur.

Enregistreurs de frappe

Les enregistreurs de frappe peuvent capturer tous les mots de passe saisis dans un système. Mais si la MFA est activée, l’obtention du mot de passe ne suffit pas au pirate pour obtenir un accès. Pour se connecter, le hacker doit également obtenir un accès aux autres facteurs d’authentification. Par exemple, si la MFA est configurée avec une application d’authentification mobile, l’utilisateur autorisé doit simplement se connecter à l’aide de son appareil mobile et accepter la demande d’authentification. Sans accès à cet appareil secondaire, les cybercriminels ne peuvent pas effectuer leur piratage, même si un enregistreur de frappe est installé sur le système de l’utilisateur.

Bourrage d’identifiants

L’authentification multifacteur est une approche très efficace pour neutraliser les attaques par bourrage d’identifiants, qui consistent à essayer automatiquement et simultanément d’entrer une liste de noms d’utilisateur et de mots de passe dérobés sur plusieurs sites. Mais avec la MFA, le cybercriminel aurait besoin d’éléments supplémentaires pour l’authentification et la connexion. Sans accès à ces informations, il ne peut pas obtenir un accès non autorisé aux systèmes de l’entreprise.

Attaques par force brute

Un hacker pourrait réussir à trouver une paire nom d’utilisateur/mot de passe qui fonctionne à l’aide d’une attaque par force brute, une attaque par force brute inversée ou une attaque par dictionnaire. Cependant, il ne connaît ou ne possède pas les autres facteurs d’authentification requis par la MFA. Il ne peut donc pas accéder au système.

Attaques de l’intercepteur

La MFA peut également permettre de bloquer les attaques plus sophistiquées, comme les attaques de l’intercepteur. Même si un hacker ou un programme malveillant s’insérait dans l’interaction entre les utilisateurs et les applications, et qu’il parvenait à capturer les informations saisies, l’authentification multifacteur demanderait à ces utilisateurs de fournir des identifiants à partir d’un appareil différent. Cela peut empêcher les espions d’intercepter ou de manipuler les communications entre l’utilisateur et l’application. Les authentifiants de type push, comme les facteurs d’authentification sur téléphone mobile, contribuent efficacement à un mécanisme MFA sécurisé, sans gêner les utilisateurs.

Imaginons par exemple qu’une utilisatrice se soit connectée à un compte depuis son ordinateur portable, compromis par un programme d’intercepteur. Mais puisque l’entreprise a configuré la MFA, l’utilisatrice doit utiliser une application mobile, comme OneLogin Protect, pour terminer la connexion. L’application d’authentification mobile native envoie un code du téléphone au système d’authentification pour finaliser la connexion en toute sécurité. Puisque le hacker n’a pas accès au téléphone de l’utilisateur ou au code à usage unique généré par l’application, la violation de données est empêchée.

L’API d’authentification Web (WebAuthn) fournit un niveau de sécurité supplémentaire lorsque les utilisateurs tentent d’accéder à leurs applications Web. L’authentification repose sur un module de sécurité matériel qui stocke en toute sécurité une clé privée à laquelle seul l’utilisateur autorisé a accès. WebAuthnN s’appuie sur un chiffrement à clé publique puissant et non sur des mots de passe faibles pour authentifier les utilisateurs autorisés, et atténuer la menace des attaques de l’intercepteur.

Les rançongiciels constituent un autre problème de sécurité grandissant pour les entreprises. Par exemple, aux États-Unis, les attaques de cybersécurité ont augmenté de 139 % entre 2019 et 2020. Le 3e trimestre 2020 a compté à lui seul le nombre colossal de 145,2 millions de cas. Le paiement des rançons a également augmenté de 311 %, soit près de 350 millions de dollars en cryptomonnaies.

Les rançongiciels sont un type de logiciel malveillant, qu’un pirate installe discrètement sur le système d’un utilisateur. Le programme chiffre les fichiers ou les données de l’utilisateur. Pour déchiffrer ces fichiers verrouillés et restaurer l’accès de l’utilisateur, le pirate réclame une rançon à la victime.

En plus de lutter contre les cyberattaques courantes, la MFA permet également d’empêcher efficacement les attaques par rançongiciel. Les attaques par rançongiciel démarrent quand un hacker parvient à accéder aux identifiants du compte. Mais avec l’authentification multifacteur, les pirates ne possèdent pas les informations requises supplémentaires pour accéder au compte ciblé. Ils restent bloqués à l’extérieur du système et l’attaque est empêchée.

En outre, toute tentative de connexion non autorisée génère une alerte. Quand les administrateurs informatiques reçoivent des demandes d’autorisation MFA inattendues, ils peuvent agir immédiatement pour ne pas laisser entrer les hackers. En ayant recours à la MFA, les entreprises peuvent éviter les attaques par rançongiciel et se protéger contre les tentatives d’extorsion.

Les solutions d’authentification multifacteur adaptative contextuelle comme OneLogin SmartFactor Authentication^TM sont très efficaces dans ce domaine. SmartFactor Authentication analyse un vaste éventail d’entrées, comme l’endroit où se trouve l’utilisateur, son appareil et ses comportements, pour ajuster le nombre de facteurs d’authentification nécessaires pour la connexion. Autre avantage : la solution évalue le niveau de risque associé à chaque connexion, puis elle procède à un ajustement dynamique des exigences d’authentification en temps réel. Elle protège donc l’entreprise contre les attaques par rançongiciel de manière fiable.

La MFA ne peut pas garantir une sécurité à toute épreuve ou prétendre arrêter toutes les cyberattaques. En revanche, elle peut protéger les systèmes et les comptes stratégiques, sécuriser l’accès aux messageries et limiter l’utilité des identifiants volés. Plus important encore, l’authentification multifacteur ajoute des niveaux d’authentification pour protéger les systèmes et lutter contre divers types de cyberattaques. La MFA est également un facteur essentiel de la sécurité Zero Trust, l’approche de la cybersécurité la plus fiable dans ce paysage de cybermenaces moderne.