Article

Non, tous les MFA ne sont pas vulnérables au prompt bombing

Avez-vous déjà entendu parler de MFA prompt bombing ? C’est le sujet du moment dans le domaine de la cybersécurité. Cette technique a récemment été utilisée contre Uber par le célèbre groupe de pirates “Lapsus$”.

Et Uber est loin d’être un cas isolé. Les cybercriminels d’aujourd’hui innovent sans cesse en exploitant les moindres failles du monde digital. Ils arrivent à contourner certains systèmes d’authentification renforcés (2FA) qui fournissent certes une couche supplémentaire de sécurité aux comptes utilisateurs, mais une couche largement insuffisante au regard de la complexité des attaques actuelles.

MFA fatigue and push bombing

L’IDSA (Identity Defined Security Alliance) a récemment publié un rapport sur les tendances 2022 en matière de sécurisation des identités numériques. Parmi les 500 professionnels de l’informatique interrogés, 84 % ont déclaré que leur organisation avait subi une usurpation d’identité au cours de l’année écoulée¹. Une augmentation de 5 points comparée au rapport de l’année précédente.

Face à ces menaces, il est plus qu’essentiel de sensibiliser les employés comme les clients aux bonnes pratiques et de renforcer les infrastructures de sécurité existantes.

Comment fonctionne le prompt bombing ?

Les attaques de type prompt bombing (ou push bombing) utilisent l’authentification multi-facteurs pour bombarder des utilisateurs de notifications push et pirater leur compte. Intentionnellement ou non, certains finissent par accepter des demandes initiées par des hackers.

Pour accéder aux données de leurs cibles, les pirates se procurent illégalement des informations d’identification valides. Lors de la tentative de connexion, ils misent sur le fait que l’utilisateur validera l’authentification à force d’être “bombardé” de demandes. On parle alors de “MFA Fatigue” pour caractériser la lassitude des utilisateurs face à ces innombrables notifications.

Cela paraît trivial mais a pourtant fonctionné avec Uber. L’attaquant a utilisé les données de connexion d’un employé et en a profité pour lui envoyer des notifications push de manière agressive. Avant de valider l’opération en question, l’utilisateur a même été contacté sur WhatsApp par un soi-disant membre de l’équipe informatique de son entreprise, lui demandant d’accepter la notification pour qu’elle cesse. C’est une forme d’ingénierie sociale.

Une tentative de prompt bombing réussie peut offrir aux hackers la possibilité d’ajouter leur appareil au compte piraté et de retirer les accès à l’utilisateur d’origine. Selon les autorisations que possède la victime dans l’entreprise, les pirates peuvent accéder et exploiter un nombre plus ou moins important de données et ressources confidentielles.

Lutter contre le prompt bombing avec le MFA inWebo

Des attaques modernes impliquent la mise en place de méthodes modernes. Voici les différentes solutions proposées par inWebo pour contrer le prompt bombing :

Paramétrer le service pour plus de sécurité

inWebo fournit un niveau de sécurité supplémentaire grâce à ses choix de paramétrage. Il est ainsi possible de rendre le code PIN obligatoire et de ne pas autoriser la biométrie sur mobile, qui favorise l’acceptation involontaire ou par habitude.

Procéder au paramétrage de mon outil
Il vous suffit de vous rendre dans la rubrique “Service Parameters” de votre outil d’administration. Ici vous aurez la possibilité de choisir de vous authentifier avec ou sans PIN et de désactiver le champ “Authentication with biometrics allowed”. À noter : lorsque le PIN est désactivé, on ne peut pas autoriser l’authentification biométrique.
Paramétrage outil d’administration inWebo

Enrôler le navigateur de vos utilisateurs

La solution inWebo Browser token permet l’enrôlement des navigateurs Web et mobile. Cela certifie que la tentative de connexion émane d’un navigateur de confiance, c’est-à-dire d’un appareil répertorié par l’entreprise. Il est possible de rendre cette manipulation obligatoire pour augmenter sensiblement la sécurité des connexions. Ce système répond à la fois au prompt bombing et aux attaques potentielles du service de phishing Evil Proxy.

Vous souhaitez enrôler votre navigateur ?

Découvrez comment ajouter un utilisateur à votre plateforme et lui permettre de s’authentifier de manière sécurisée. Activez votre compte en suivant les procédures indiquées dans l’invitation reçue par mail. Enrôlez votre navigateur de confiance en activant et en définissant votre PIN et votre phrase antiphishing. Ajoutez votre mobile ou finalisez directement les démarches sur votre navigateur.

Désactiver les notifications push

Le système d’authentification multi-facteurs d’inWebo permet de désactiver les notifications push et de laisser l’utilisateur se rendre de lui-même dans l’espace de validation des tentatives de connexion. Sans sollicitations intempestives, il est protégé des attaques de type prompt bombing.

Générer un mot de passe à usage unique (OTP)

Les méthodes décrites ci-avant peuvent voir leur efficacité démultipliée grâce au “One-time password” (OTP) d’inWebo. Ce système impose à l’utilisateur de générer un mot de passe à usage unique sur son mobile. Cet OTP doit ensuite être saisi sur le navigateur de confiance. Sans aucune sollicitation externe, en passant par une chaîne d’appareils certifiés, la connexion aux données les plus sensibles est protégée au plus haut niveau.

Authentication portal
Generate an OTP
Use the OTP to log in
Comment générer un OTP avec inWebo ?

Pour réaliser cette opération, il vous suffit de vous rendre sur le portail d’authentification de votre organisation et de sélectionner “Show me other options”. Votre identifiant et votre OTP vous seront demandés. Rendez-vous sur votre application mobile et cliquez sur “Generate an OTP”. Un mot de passe à usage unique vous sera alors communiqué, et expirera automatiquement au bout de 30 secondes. Renseignez ce mot de passe sur votre navigateur pour valider votre authentification.

Il y a encore du chemin à parcourir avant de rendre les systèmes MFA pleinement résistants au prompt bombing. Cela étant dit, comme le démontre la solution d’authentification inWebo MFA, il existe déjà de nombreuses manières de lutter contre la diversité technique et sociale des cyberattaques à condition d’être attentif aux choix des outils utilisés et des politiques de sécurité mises en place. Toutes les solutions MFA ne se valent pas et le 2FA n’est pas aussi fort que le MFA.

Sensibiliser et former les utilisateurs aux bonnes pratiques

La mise en place de ces mécanismes de sécurité à elle seule ne suffit pas. Il est aujourd’hui nécessaire de sensibiliser les utilisateurs aux attaques de prompt bombing et leur apprendre à adopter les bons comportements. Ces actions de prévention permettent d’identifier plus facilement les demandes d’authentification suspectes et de réagir en conséquence.

Certains clients d’inWebo ont par exemple lancé des campagnes en s’appuyant sur la capacité de notre API à envoyer des notifications push. Avec un simple script, les administrateurs simulent des attaques de prompt bombing sur tout ou partie des utilisateurs de la solution. Ils détectent de cette manière les utilisateurs qui signalent correctement cette attaque ou, au contraire, ceux qui y cèdent. Cela permet ensuite de cibler et d’adapter les messages de sensibilisation à la maturité technologique des différents publics.

Renforcez vos infrastructures de sécurité avec inWebo Browser Token

Cette année, 82% des violations de données ont impliqué un facteur humain². Tels sont les résultats du rapport 2022 sur les enquêtes relatives aux violations de données, réalisé par Verizon. Cette étude basée sur 23 000 incidents et 5 200 violations confirmées dans le monde souligne l’importance des programmes de sensibilisation. Le cas Uber est en ligne avec les résultats de cette enquête.

Si les infrastructures de sécurité existantes offrent une réelle barrière de protection, elles peuvent également créer des frictions et altérer l’expérience utilisateur. Les méthodes modernes d’authentification multi-facteurs recommandent aujourd’hui l’utilisation des clés de sécurité FIDO2. Coupler ces clés matérielles à la technologie inWebo Browser Token permet de lutter à la fois contre le phishing et le “bombardement” de notifications push.
(1) https://www.idsalliance.org/white-paper/2022-trends-in-securing-digital-identities/
(2) https://www.verizon.com/business/resources/reports/dbir/
Comment fonctionne le prompt bombing ?
Les attaques de prompt bombing (ou push bombing) se servent des failles des systèmes MFA pour bombarder des utilisateurs de notifications push et pirater leur compte. Certains hackers, comme dans le cas d’Uber, vont jusqu’ à contacter leur victime sur WhatsApp afin de les convaincre d’accepter ces demandes d’authentification.
Qu’est-ce que le MFA fatigue ?

La MFA fatigue se caractérise par la lassitude des utilisateurs face aux innombrables notifications push qu’ils reçoivent lors d’une tentative d’attaque de type MFA prompt bombing.

Qu’est-ce que l’authentification multi-facteurs (MFA) ?

L’authentification multi-facteurs (MFA), ou authentification forte, est un processus de sécurité qui nécessite deux ou plusieurs facteurs de vérification pour prouver l’identité d’un utilisateur. Le plus souvent, cela implique de se connecter à un réseau, une application ou une autre ressource sans se contenter d’une simple combinaison ID + mot de passe.

L'authentification forte MFA sans compromis

Contactez-nous pour une démo ou pour demander l'ouverture de votre compte de test

Essai gratuit

Très haut niveau de sécurité

inWebo MFA détient la technologie unique et brevetée des clés dynamiques aléatoires qui lui permet de proposer le plus haut niveau de sécurité du marché. Solution certifiée par l’ANSSI.

Intégration et déploiement facile

Accessible en Saas, riche en connecteurs, API et SDK, inWebo MFA s’adapte à vos contraintes techniques, sans vous en imposer de nouvelles. Déployez un MFA rapidement et à grande échelle, sans contact humain et sans logistique.

Expérience utilisateur passwordless et deviceless

inWebo vous permet d’offrir une expérience utilisateur simplifiée, étendue à toutes les dimensions de l’authentification, de l’enrôlement à la connexion grâce à ses tokens universels, passwordless et deviceless.

Recevez toute l'actualité de l'authentification forte

Nos dernières actualités

Voir plus
Demandez une demo