L’authentification multifacteur (ou MFA) est un excellent moyen de protéger vos comptes Microsoft 365 contre les personnes malveillantes qui tentent de se connecter à votre compte. Il s’agit d’une deuxième forme de protection à la suite du mot de passe qui offre une seconde étape dans le processus de vérification de l’utilisateur qui tente de se connecter.
Bien que l’intention derrière la méthode d’authentification à 2 niveaux est de nous protéger, les attaquants ont également commencé à chercher des moyens de la compromettre. En effet, l’authentification multifacteur n’empêche pas à tout coup les différentes cyberattaques qui sévissent ces jours-ci et plusieurs attaques par fatigue MFA ciblent particulièrement les utilisateurs de Microsoft 365.
Mais, qu’est-ce que la fatigue MFA et comment peut-on éviter d’en être la prochaine victime?
Qu’est-ce que la fatigue MFA?
Le terme fatigue MFA fait référence à la surcharge de notifications ou d’invitations via les applications configurées avec l’authentification multifacteur. Au cours de la journée, un utilisateur peut donc recevoir plusieurs avis de différentes plateformes dans le but d’effectuer des connexions ou approuver différentes actions liées à ses différents comptes.
En somme, un pirate informatique va d’abord trouver votre mot de passe et, dans le constat que votre compte est protégé par un MFA, vous envoie en rafale des avis de demande d’authentification dans l’espoir que cela vous fatigue au point d’accepter la demande de connexion. Les professionnels de l’informatique ont observé une augmentation significative du nombre d’attaques réalisées à l’aide de cette technique. Ainsi, des pirates hautement motivés et connus utilisent activement ce type de méthode pour pénétrer dans les comptes Microsoft 365 et compromettre des organisations entières.
Qu’arrive-t-il si les pirates obtiennent l’accès à mon compte Microsoft 365?
Les pirates informatiques qui utilisent cette technique d’attaque misent presque entièrement sur le facteur humain et l’erreur humaine. En effet, en envoyant à quelqu’un rapidement plusieurs avis d’authentification multifacteur, ils espèrent que l’utilisateur acceptera l’authentification et ainsi donner accès à son compte aux pirates. Cela se produit généralement parce que l’utilisateur est distrait ou submergé par les notifications et, dans certains cas, cela peut être interprété à tort comme un bogue ou confondu avec d’autres demandes d’authentification légitimes.
Cette attaque est particulièrement efficace non pas en
raison de la technologie impliquée, mais
parce qu’elle cible le facteur humain de la MFA.
De nombreux utilisateurs de MFA ne sont pas familiers avec ce type d’attaque et ne comprendraient pas qu’ils approuvent une notification frauduleuse. D’autres veulent juste le faire disparaître et ne sont tout simplement pas conscients de ce qu’ils font puisqu’ils approuvent tout le temps des notifications similaires. Dans ce contexte, ils ne peuvent pas voir à travers la surcharge de notifications et identifier la menace.
Comment détecter plusieurs tentatives de notifications push dans Microsoft 365 ?
Ce type d’attaque peut être détecté directement à partir du portail Azure en inspectant les journaux de connexion. Nous recommandons vivement aux professionnels de l’informatique de suivre les étapes suivantes :
- Connectez-vous à votre centre d’administration Azure Active Directory.
- Cliquez ensuite sur la rubrique Azure Active Directory.
- Dans le groupe Supervision, cliquez sur Journaux de connexion
- Par la suite, nous trouverons les journaux de connexion, où les informations sur les connexions et les ressources des utilisateurs sont enregistrées.
- Filtrer ensuite l’état de connexion par Statut en échec pour obtenir une liste des notifications push MFA refusées.
- Commencer à étudier chaque activité individuellement en accédant aux détails d’authentification.
- Plusieurs événements doivent être considérés comme Mobile app notification dans la colonne Méthode d’authentification.
- Les spams de notifications push doivent être false dans la colonne Opération réussite.
Comment faire pour atténuer ce type d’attaque?
Il existe de nombreuses façons d’atténuer ce type d’attaque. Ici, nous allons mettre en évidence certaines d’entre elles afin que les administrateurs Microsoft 365 puissent choisir ce qui correspond à leurs besoins.
Configuration des limites de service
Un moyen efficace de protéger vos comptes Microsoft 365 contre ce type d’attaque consiste à configurer les limites par défaut du service d’authentification multifacteur. Ces limites, par défaut et maximales, se trouvent dans la documentation d’Azure Resource Manager.
Connexion par téléphone
Un utilisateur peut aider à empêcher l’accès par inadvertance à son compte en utilisant la méthode de vérification de connexion par téléphone de Microsoft Authenticator.
Dans ce scénario, un numéro unique à deux chiffres est généré et doit être confirmé des deux côtés. Il est très difficile pour un attaquant de compromettre cela, car on lui montre un numéro qui doit être deviné dans le téléphone (auquel l’attaquant n’a pas accès). Seul l’attaquant connaîtra le numéro et pour approuver l’accès, l’utilisateur devra choisir un numéro parmi trois options. De cette façon, cela diminue les possibilités d’approbation dudit accès.
En bref
Si vous avez besoin d’être accompagné pour sécuriser votre environnement Microsoft 365, n’hésitez pas à faire appel à nos spécialistes de la cybersécurité pour vous accompagner.
