Table des matières
De nombreuses entreprises remplacent le 2FA basé sur SMS par un 2FA basé sur un SMS (push) car il est généralement plus sûr et souvent plus facile à utiliser. Cela dit, il n’est pas infaillible: les attaquants peuvent toujours contourner le 2FA basé sur un rapide. Ce guide explique les méthodes d’attaque les plus courantes et comment rester protégé.
1. Attaque de fatigue MFA
C’est l’une des méthodes d’attaque les plus courantes car il est facile à exécuter à grande échelle. Comme son nom l’indique, dans l’attaque de fatigue de la MFA, l’attaquant envoie constamment des notifications push à un compte avec un mot de passe compromis. L’intention est de fatiguer / agacer l’utilisateur afin qu’ils approuvent la demande pour s’en débarrasser.
Les pirates essaient de tirer parti de la confusion, de la gêne et de la curiosité de l’utilisateur pour réussir dans cette attaque. Pour contrer cela, certains comptes en ligne utilisent un choix de numéros révélé uniquement sur la page de connexion afin que l’utilisateur n’approuve pas accidentellement une demande. Ce n’est pas complètement sûr, cependant, car les utilisateurs peuvent toujours choisir le bon numéro sur 3 choix.
La meilleure façon de rester en sécurité est de ne jamais accepter une demande d’approbation non sollicitée et de modifier immédiatement votre mot de passe. Ces demandes signifient toujours que votre mot de passe a été compromis et vous devez le modifier. Vous devez également créer des mots de passe solides et être résilients aux biscuits de mot de passe qui mènent à cette attaque.
2. Invites de poussée de l’ingénierie sociale
Les pirates peuvent également convaincre les victimes d’approuver une invite de connexion en utilisant l’ingénierie sociale. Habituellement, cela se fait sur un appel, mais cela peut être fait via des supports de messagerie. Les pirates se présentent en tant que représentants de l’entreprise et demandent que vous approuviez l’invite pour la vérification des utilisateurs. Ils ont généralement votre mot de passe et démarreront une session de connexion après avoir confirmé l’invite.
Il s’agit d’un piège commun des pirates qui peuvent être facilement évités car les représentants officiels ne vous demanderont jamais de partager des mots de passe, TOTP ou d’approuver les demandes. Ces informations ne doivent jamais être partagées avec personne, peu importe qui demande. En outre, lisez soigneusement l’invite que vous recevez, car les pirates peuvent dire que c’est une demande sûre sans rapport avec votre compte.
3. Exploit SMS-Fallback
Certains comptes en ligne offrent un 2FA basé sur une base de commodité, mais offrent également SMS 2FA en tant que méthode d’authentification de secours. Cela défait complètement la sécurité du 2FA basé sur une invite, car un pirate peut passer à SMS-2FA, qui est susceptible d’attaques comme le recyclage des numéros de téléphone ou l’échange de sim.
Bien que rares, certains comptes peuvent vous permettre de désactiver les SMS en tant que méthode 2FA dans les paramètres du compte. Sinon, vous pouvez supprimer votre numéro de téléphone (sinon obligatoire) du compte pour empêcher les pirates de l’utiliser pour 2FA.
4. Approbation automatique de l’appareil infecté
Si votre appareil est infecté par des logiciels malveillants avec un accès à des autorisations sensibles comme l’administrateur de l’appareil ou l’accessibilité, les pirates peuvent approuver automatiquement les connexions basées sur les invites. Ils peuvent à la fois afficher le contenu de l’écran et simuler des robinets pour interagir, afin qu’ils puissent démarrer une session de connexion et l’approuver.
Pour cette raison, certaines entreprises ajoutent désormais une vérification biométrique en tant que sécurité supplémentaire, donc l’interaction physique est nécessaire pour approuver une demande. Cependant, les utilisateurs peuvent être amenés à fournir des biométriques en créant des demandes consécutives (MFA Fatigue Attack).
Votre meilleur pari est d’avoir la plus grande sécurité sur votre appareil d’approbation 2FA et de la vérification biométrique activée lorsque cela est possible. Évitez les applications de téléchargement de touche et gérez les autorisations d’applications pour vous assurer qu’aucune application indigne de confiance n’a d’autorisations sensibles.
5. Fausse attaque de superposition
Il s’agit d’une autre attaque sophistiquée qui dépend de l’infection des appareils. Les logiciels malveillants peuvent afficher de fausses superpositions pour vous convaincre d’approuver une demande de connexion, comme l’attaque de malware de Raton. Le malware affichera une fausse demande d’approbation liée à quelque chose d’inoffensive, mais il couvrira une invite de connexion. Lorsque vous approuvez, il approuvera plutôt la connexion du compte.
Cette attaque est beaucoup plus convaincante et plus difficile à détecter. De nombreux utilisateurs ne réfléchiront pas à une invite inoffensive liée à leurs fonctions de téléphone, comme l’activation de la batterie. Par conséquent, sécuriser votre appareil à partir de logiciels malveillants est le meilleur moyen d’éviter cela. Si vous pensez que votre appareil est infecté, prenez immédiatement les mesures pour supprimer le malware.
Le 2FA basé sur une base invitée offre une réelle commodité tout en évitant bon nombre des faiblesses du SMS et des seconds facteurs par e-mail. Assurez-vous simplement que vous faites attention à ces méthodes d’attaque courantes. Vous pouvez également considérer des options d’authentification plus solides telles que les clés de sécurité ou de sécurité matérielle.
