Non, tous les MFA ne sont pas vulnérables au prompt bombing
Et Uber est loin d’être un cas isolé. Les cybercriminels d’aujourd’hui innovent sans cesse en exploitant les moindres failles du monde digital. Ils arrivent à contourner certains systèmes d’authentification renforcés (2FA) qui fournissent certes une couche supplémentaire de sécurité aux comptes utilisateurs, mais une couche largement insuffisante au regard de la complexité des attaques actuelles.
L’IDSA (Identity Defined Security Alliance) a récemment publié un rapport sur les tendances 2022 en matière de sécurisation des identités numériques. Parmi les 500 professionnels de l’informatique interrogés, 84 % ont déclaré que leur organisation avait subi une usurpation d’identité au cours de l’année écoulée¹. Une augmentation de 5 points comparée au rapport de l’année précédente.
Comment fonctionne le prompt bombing ?
Pour accéder aux données de leurs cibles, les pirates se procurent illégalement des informations d’identification valides. Lors de la tentative de connexion, ils misent sur le fait que l’utilisateur validera l’authentification à force d’être “bombardé” de demandes. On parle alors de “MFA Fatigue” pour caractériser la lassitude des utilisateurs face à ces innombrables notifications.
Cela paraît trivial mais a pourtant fonctionné avec Uber. L’attaquant a utilisé les données de connexion d’un employé et en a profité pour lui envoyer des notifications push de manière agressive. Avant de valider l’opération en question, l’utilisateur a même été contacté sur WhatsApp par un soi-disant membre de l’équipe informatique de son entreprise, lui demandant d’accepter la notification pour qu’elle cesse. C’est une forme d’ingénierie sociale.
Une tentative de prompt bombing réussie peut offrir aux hackers la possibilité d’ajouter leur appareil au compte piraté et de retirer les accès à l’utilisateur d’origine. Selon les autorisations que possède la victime dans l’entreprise, les pirates peuvent accéder et exploiter un nombre plus ou moins important de données et ressources confidentielles.
Lutter contre le prompt bombing avec le MFA inWebo
Paramétrer le service pour plus de sécurité
inWebo fournit un niveau de sécurité supplémentaire grâce à ses choix de paramétrage. Il est ainsi possible de rendre le code PIN obligatoire et de ne pas autoriser la biométrie sur mobile, qui favorise l’acceptation involontaire ou par habitude.
Procéder au paramétrage de mon outil
Enrôler le navigateur de vos utilisateurs
La solution inWebo Browser token permet l’enrôlement des navigateurs Web et mobile. Cela certifie que la tentative de connexion émane d’un navigateur de confiance, c’est-à-dire d’un appareil répertorié par l’entreprise. Il est possible de rendre cette manipulation obligatoire pour augmenter sensiblement la sécurité des connexions. Ce système répond à la fois au prompt bombing et aux attaques potentielles du service de phishing Evil Proxy.
Vous souhaitez enrôler votre navigateur ?
Découvrez comment ajouter un utilisateur à votre plateforme et lui permettre de s’authentifier de manière sécurisée. Activez votre compte en suivant les procédures indiquées dans l’invitation reçue par mail. Enrôlez votre navigateur de confiance en activant et en définissant votre PIN et votre phrase antiphishing. Ajoutez votre mobile ou finalisez directement les démarches sur votre navigateur.
Désactiver les notifications push
Le système d’authentification multi-facteurs d’inWebo permet de désactiver les notifications push et de laisser l’utilisateur se rendre de lui-même dans l’espace de validation des tentatives de connexion. Sans sollicitations intempestives, il est protégé des attaques de type prompt bombing.
Générer un mot de passe à usage unique (OTP)
Les méthodes décrites ci-avant peuvent voir leur efficacité démultipliée grâce au “One-time password” (OTP) d’inWebo. Ce système impose à l’utilisateur de générer un mot de passe à usage unique sur son mobile. Cet OTP doit ensuite être saisi sur le navigateur de confiance. Sans aucune sollicitation externe, en passant par une chaîne d’appareils certifiés, la connexion aux données les plus sensibles est protégée au plus haut niveau.
Comment générer un OTP avec inWebo ?
Pour réaliser cette opération, il vous suffit de vous rendre sur le portail d’authentification de votre organisation et de sélectionner “Show me other options”. Votre identifiant et votre OTP vous seront demandés. Rendez-vous sur votre application mobile et cliquez sur “Generate an OTP”. Un mot de passe à usage unique vous sera alors communiqué, et expirera automatiquement au bout de 30 secondes. Renseignez ce mot de passe sur votre navigateur pour valider votre authentification.
Sensibiliser et former les utilisateurs aux bonnes pratiques
Certains clients d’inWebo ont par exemple lancé des campagnes en s’appuyant sur la capacité de notre API à envoyer des notifications push. Avec un simple script, les administrateurs simulent des attaques de prompt bombing sur tout ou partie des utilisateurs de la solution. Ils détectent de cette manière les utilisateurs qui signalent correctement cette attaque ou, au contraire, ceux qui y cèdent. Cela permet ensuite de cibler et d’adapter les messages de sensibilisation à la maturité technologique des différents publics.
Renforcez vos infrastructures de sécurité avec inWebo Browser Token
Cette année, 82% des violations de données ont impliqué un facteur humain². Tels sont les résultats du rapport 2022 sur les enquêtes relatives aux violations de données, réalisé par Verizon. Cette étude basée sur 23 000 incidents et 5 200 violations confirmées dans le monde souligne l’importance des programmes de sensibilisation. Le cas Uber est en ligne avec les résultats de cette enquête.
Comment fonctionne le prompt bombing ?
Qu’est-ce que le MFA fatigue ?
La MFA fatigue se caractérise par la lassitude des utilisateurs face aux innombrables notifications push qu’ils reçoivent lors d’une tentative d’attaque de type MFA prompt bombing.
Qu’est-ce que l’authentification multi-facteurs (MFA) ?
L’authentification multi-facteurs (MFA), ou authentification forte, est un processus de sécurité qui nécessite deux ou plusieurs facteurs de vérification pour prouver l’identité d’un utilisateur. Le plus souvent, cela implique de se connecter à un réseau, une application ou une autre ressource sans se contenter d’une simple combinaison ID + mot de passe.
L'authentification forte MFA sans compromis
Contactez-nous pour une démo ou pour demander l'ouverture de votre compte de test
Très haut niveau de sécurité
inWebo MFA détient la technologie unique et brevetée des clés dynamiques aléatoires qui lui permet de proposer le plus haut niveau de sécurité du marché. Solution certifiée par l’ANSSI.
Intégration et déploiement facile
Accessible en Saas, riche en connecteurs, API et SDK, inWebo MFA s’adapte à vos contraintes techniques, sans vous en imposer de nouvelles. Déployez un MFA rapidement et à grande échelle, sans contact humain et sans logistique.
Expérience utilisateur passwordless et deviceless
inWebo vous permet d’offrir une expérience utilisateur simplifiée, étendue à toutes les dimensions de l’authentification, de l’enrôlement à la connexion grâce à ses tokens universels, passwordless et deviceless.
Recevez toute l'actualité de l'authentification forte
Nos dernières actualités
Comprendre les différences entre l’authentification et l’autorisation
Les termes « authentification » et « autorisation » sont des concepts fondamentaux en matière d’IAM et de CIAM. Ils forment le cadre de la cybersécurité. Leur proximité de sens et de prononciation...
PBAC vs ABAC : Quelles Différences ?
Avec l’évolution rapide de la technologie, on assiste à une migration massive des industries et des grandes organisations vers le cloud. Presque toutes les ressources, données et autres entités...
inWebo présente son IAM modulaire aux Assises de la Cybersécurité
Cette année encore, inWebo est dans les starting-blocks pour participer aux Assises de la Cybersécurité avec 4 jours de business et de networking du 12 au 15 octobre 2022. Retrouvez-nous stand n°18...