Les attaques de fatigue multifactorielle se multiplient : comment s’en défendre ?

Le manque d’informations d’identification est depuis longtemps l’une des principales causes de failles de sécurité réseau, ce qui a conduit de plus en plus d’organisations à utiliser l’authentification multifacteur (MFA) comme moyen de défense. Bien que l’activation de MFA pour tous les comptes soit fortement encouragée et constitue une bonne pratique, les détails de mise en œuvre sont importants car les attaquants trouvent des moyens de le contourner.

L’un des moyens les plus populaires consiste à spammer un employé dont les informations d’identification ont été compromises avec des demandes d’autorisation MFA jusqu’à ce qu’il soit ennuyé et approuve la demande via son application d’authentification. Il s’agit d’une technique simple mais efficace connue sous le nom de fatigue MFA et qui a également été utilisée lors de la récente violation d’Uber.

Uber, LAPSUS$ et infractions passées

Uber a subi une faille de sécurité la semaine dernière au cours de laquelle un pirate informatique a eu accès à certains de ses systèmes internes, notamment G-Suite, Slack, OpenDNS et la plateforme de primes de bogues HackerOne. Lorsque les détails du piratage ont été révélés, certains chercheurs en sécurité ont réussi à parler au pirate qui était heureux d’assumer ses responsabilités et de partager quelques détails sur la manière dont l’attaque avait été menée.

Dans une conversation partagé sur Twitter par le chercheur en sécurité Kevin Beaumont, le pirate informatique a déclaré : “Je spammais [an] employé avec autorisation push pendant plus d’une heure. Je l’ai ensuite contacté via WhatsApp et j’ai prétendu être d’Uber IT. Je lui ai dit que s’il voulait que ça s’arrête, il devait l’accepter. Et bien, il a accepté et j’ai ajouté mon appareil.”

Uber a depuis partiellement confirmé cette information, affirmant dans un mettre à jour l’incident de sécurité que la victime était un sous-traitant Uber tiers dont les informations d’identification Uber ont été volées après que son appareil a été infecté par un logiciel malveillant. La société pense que le pirate a probablement acheté les informations d’identification sur le dark web et a lancé l’attaque de fatigue MFA.

“L’agresseur a ensuite tenté à plusieurs reprises de se connecter au compte Uber de l’entrepreneur”, a indiqué la société. “Chaque fois, l’entrepreneur a reçu une demande d’approbation à deux facteurs, bloquant initialement l’accès. Cependant, l’entrepreneur a fini par en accepter une et l’attaquant s’est connecté.”

Copyright © 2022 IDG Communications, Inc.

Leave a Reply

Your email address will not be published.