L'authentification multifacteur (MFA) a été conçue pour renforcer la sécurité en exigeant un second facteur, même si les identifiants de compte étaient compromis. Cependant, les attaquants contournent désormais cette protection en manipulant les utilisateurs pour qu'ils approuvent des demandes de connexion malveillantes grâce à une technique connue sous le nom de "MFA prompt bombing". Les organisations utilisant l'MFA basé sur les notifications push sont particulièrement vulnérables. Des outils comme **Specops Secure Access** sont conçus pour atténuer cette menace. Examinons comment fonctionne cette technique. ## Comment fonctionne le "MFA Prompt Bombing" Cette attaque repose sur trois éléments clés : * Des identifiants de compte valides, souvent obtenus à partir de bases de données de mots de passe piratés. * Un portail de connexion utilisant l'MFA basé sur les notifications push, tel qu'un VPN, **Microsoft 365**, **Okta**, ou **Duo**. * Une cible qui reçoit des alertes pour chaque tentative de connexion. Les attaquants inondent la cible de notifications MFA, espérant qu'elle en approuvera une par erreur ou par frustration. Cette tactique est souvent combinée avec des appels de vishing (hameçonnage vocal), où les attaquants se font passer pour le support informatique pour manipuler la cible afin qu'elle approuve la demande. Le danger réside dans le fait que l'attaquant n'a besoin de réussir qu'une seule fois. Une fois qu'une notification est approuvée, l'attaquant obtient l'accès en tant qu'utilisateur légitime. Comme la connexion semble légitime, les systèmes de sécurité sont peu susceptibles de déclencher une alerte. ## La violation **Cisco** La violation **Cisco** en 2022 démontre l'efficacité de cette technique. Un attaquant, lié au groupe de ransomware **Yanluowang**, a compromis le compte **Google** personnel d'un employé de **Cisco**, obtenant l'accès aux identifiants stockés dans le navigateur, y compris son mot de passe VPN **Cisco**. L'attaquant a ensuite initié des notifications MFA sur le téléphone de l'employé. Initialement sans succès, ils ont eu recours à des appels de vishing, se faisant passer pour du personnel de support de confiance avec divers accents, persuadant finalement l'employé d'approuver une notification push. Cela a accordé à l'attaquant un accès VPN en tant qu'employé. Ils ont ensuite enregistré leurs propres appareils pour la persistance MFA, escaladé les privilèges, accédé aux serveurs **Citrix** et aux contrôleurs de domaine, et exfiltré environ 2,8 Go de données avant d'être détectés. Le succès du "prompt bombing" contre **Cisco**, une entreprise dotée d'une solide posture de sécurité, souligne son danger potentiel. ## Pourquoi l'MFA par notification push n'élimine pas le risque L'MFA basé sur les notifications push présente un défi car les utilisateurs disposent d'informations limitées lorsqu'ils approuvent ou refusent une connexion. Ils manquent de détails clairs sur l'origine de la demande, l'appareil utilisé, ou s'ils ont initié la tentative de connexion. Bien que gérable isolément, des notifications répétées peuvent amener les utilisateurs à supposer un dysfonctionnement du système plutôt qu'à reconnaître une attaque potentielle. Associée à un appel téléphonique bien synchronisé d'un faux représentant du support informatique, la situation devient encore plus complexe. L'utilisateur, pensant répondre à une demande légitime, accorde involontairement l'accès à un attaquant qui possède déjà ses identifiants. ## 3 façons de prévenir le "Prompt Bombing" ### 1. Utiliser des facteurs MFA résistants à la fatigue et au phishing Les notifications push sont la forme la plus faible d'MFA. Les facteurs résistants au phishing, tels que les clés de sécurité FIDO2 (**YubiKey**), les jetons matériels ou les codes de correspondance de numéros des applications d'authentification, sont plus difficiles à exploiter. **Specops Secure Access** prend en charge plus de 15 fournisseurs d'identité et propose des options résistantes à la fatigue pour la connexion Windows, RDP et les connexions VPN, permettant aux organisations de remplacer l'MFA basé uniquement sur les notifications push pour les points d'accès à haut risque.  ### 2. Bloquer les mots de passe compromis à la source Le "prompt bombing" repose sur le fait que les attaquants possèdent des mots de passe valides. Scanner continuellement **Active Directory (AD)** par rapport à une base de données en direct de mots de passe piratés et forcer les réinitialisations lorsque des correspondances sont trouvées élimine le fondement de l'attaque. Les politiques de mots de passe AD par défaut sont insuffisantes pour détecter les mots de passe réutilisés, incrémentiels ou piratés. **Specops Password Auditor** fournit un scan gratuit en lecture seule de votre AD, identifiant les vulnérabilités telles que les mots de passe compromis ou les comptes administrateurs inactifs.  ### 3. Ajouter des signaux de risque à la connexion Les politiques d'accès conditionnel, prenant en compte des facteurs tels que la géographie, la posture de l'appareil et les heures de connexion, peuvent bloquer ou exiger une authentification supplémentaire avant qu'une notification ne soit envoyée à l'utilisateur. Cela réduit la dépendance au comportement de l'utilisateur et introduit un contexte en temps réel pour empêcher que des connexions suspectes n'entraînent une compromission de compte. ## L'MFA reste important Le "MFA prompt bombing" n'invalide pas l'MFA mais souligne les limites de certains facteurs. Lorsque les demandes d'approbation peuvent être déclenchées à plusieurs reprises sans contexte, le contrôle devient vulnérable à la manipulation. Si les notifications push sont votre second facteur par défaut, reconsidérez cette décision. La correspondance de numéros ou les méthodes résistantes au phishing améliorent l'MFA, tandis que le scan des mots de passe compromis réduit le risque que les attaquants obtiennent un accès initial. Explorez des solutions MFA plus robustes pour renforcer la sécurité de votre identité.