Par Alexandre Cogné, Expert Cyber chez Ping Identity
L’Authentification Multi-Facteurs (MFA) étant devenu la norme dans la plupart des organisations, les attaquants ont commencé à chercher des moyens créatifs de pénétrer dans les comptes et de franchir la barrière du MFA. L'une des méthodes qui est devenue populaire parmi les attaquants est la fatigue MFA, ou fatigue push.
Qu'est-ce que la fatigue MFA ?
Certains utilisateurs peuvent approuver l'authentification du premier coup, tandis que d'autres la refusent dans un premier temps. Mais la plupart des utilisateurs approuveront l'authentification après plusieurs demandes, simplement pour que l'application ennuyeuse cesse d'envoyer des notifications toutes les quelques secondes.
Quatre façons d'éviter la lassitude face au MFA
1/ Authentification FIDO2 : FIDO offre une excellente expérience à l'utilisateur tout en forçant la proximité entre l'utilisateur et l'appareil d'accès. Elle empêche également les attaques de type « man-in-the-middle » et « Modlishka », ce qu'aucune autre méthode d'authentification ne peut faire. Par-dessus tout, FIDO2 permet une expérience sans nom d'utilisateur et sans mot de passe. Néanmoins, la mise en œuvre de FIDO dans une organisation implique d'équiper chaque utilisateur d'un authentificateur FIDO, ce qui nécessite un ordinateur doté d'une plate-forme. L'autre option consiste à fournir à chaque utilisateur une clé de sécurité, ce qui augmente les frais généraux. Le coût de l'une ou l'autre de ces options est considérable et peut constituer un obstacle pour de nombreuses entreprises.
2/ Limiter le nombre de notifications push : Le risque qu'un utilisateur approuve une demande d'authentification qu'il n'a pas initiée augmente avec le nombre de notifications push qu'il reçoit. Même un utilisateur expérimenté peut approuver une notification push après l'avoir envoyée 10 fois, c'est pourquoi limiter le nombre de notifications push peut être utile. Mais cela laisse à l'utilisateur le soin de décider comment répondre aux premières notifications push, et de nombreux utilisateurs approuvent la première notification push qu'ils reçoivent.
3/ Utilisation des notifications push avec sélection de numéros : Cette méthode utilise les notifications push mais impose la proximité en présentant un numéro à deux chiffres sur l'appareil de l'utilisateur et en lui demandant de le sélectionner dans une liste de trois numéros présentés dans l'application mobile. Si l'utilisateur sélectionne le bon numéro, l'authentification est approuvée. Cette méthode est plus sûre que l'envoi d'une notification push, car si c'est un fraudeur qui envoie la notification push, l'utilisateur authentique ne voit pas la page d'authentification avec le numéro qu'il doit sélectionner. Pour de nombreux utilisateurs, recevoir une notification push avec trois chiffres sans voir le numéro sur le dispositif d'accès semblera étrange, et ils éviteront d'appuyer sur l'un des chiffres.
4/ Authentification basée sur le risque (RBA) : L'objectif de la RBA n'est pas seulement d'imposer le MFA uniquement lorsque c'est nécessaire, mais aussi d'imposer la bonne méthode de MFA en fonction de différentes conditions. La fatigue MFA peut être créée par des fraudeurs qui tentent de se connecter avec les informations d'identification de l'utilisateur, mais peut également être causée par l'organisation elle-même. Les utilisateurs qui doivent passer par le MFA encore et encore au cours d'une journée ont tendance à considérer le MFA comme une tâche ennuyeuse. La RBA ajoute de l'intelligence à vos politiques en traitant des signaux que le MFA standard ne traite pas. La RBA apprend les habitudes de chaque utilisateur, l'appareil utilisé, l'emplacement, le réseau et bien plus encore, et fournit un score de risque simple à digérer. Une politique MFA utilise ce score de risque pour décider d'approuver, de contester ou de refuser l'authentification et pour déterminer quel type de MFA doit être utilisé dans différents scénarios.
Prenez le temps d’examiner vos flux d'authentification actuels et les paramètres MFA dans votre environnement. Améliorez l'expérience de vos utilisateurs en ajoutant l'authentification basée sur le risque et en réduisant la quantité de MFA requise dans votre organisation, tout en vous assurant que les utilisateurs comprennent l'importance de la MFA pour la protection des actifs de votre entreprise.