La prise de contrôle des comptes cloud est devenue un problème majeur pour les entreprises. Pensez à la quantité de travail que votre entreprise effectue et qui nécessite un nom d'utilisateur et un mot de passe. Les employés finissent par devoir se connecter à de nombreux systèmes ou applications cloud différents.
Les pirates informatiques utilisent diverses méthodes pour obtenir ces identifiants de connexion. L'objectif est d'accéder aux données de l'entreprise en tant qu'utilisateur. Ils peuvent également lancer des attaques sophistiquées et envoyer des e-mails de phishing à des personnes internes.
À quel point le problème des violations de comptes est-il devenu grave ? Entre 2019 et 2021, les piratages de comptes (ATO) ont augmenté de 307 % .
L’authentification multifacteur ne permet-elle pas d’empêcher les violations d’informations d’identification ?
De nombreuses organisations et personnes utilisent l'authentification multifacteur (MFA). C'est un moyen d'arrêter les attaquants qui ont eu accès à leurs noms d'utilisateur et mots de passe. L'authentification multifacteur est très efficace pour protéger les comptes cloud et ce depuis de nombreuses années.
Mais c'est cette efficacité qui a poussé les pirates à trouver des solutions de contournement. L'une de ces méthodes néfastes pour contourner l'authentification multifacteur est le push-bombing.
Comment fonctionne le Push-Bombing ?
Lorsqu'un utilisateur active l'authentification multifacteur sur un compte, il reçoit généralement un code ou une invite d'autorisation d'un certain type. L'utilisateur saisit ses identifiants de connexion. Le système envoie ensuite une demande d'autorisation à l'utilisateur pour terminer sa connexion.
Le code MFA ou la demande d'approbation arrive généralement via un message « push ». Les utilisateurs peuvent le recevoir de plusieurs manières :
- SMS/text
- Une fenêtre contextuelle d'appareil
- Une notification d'application
La réception de cette notification fait partie intégrante de la connexion par authentification multifacteur. C'est quelque chose que l'utilisateur connaît.
Avec le push-bombing, les pirates informatiques commencent par utiliser les identifiants de l'utilisateur. Ils peuvent les obtenir par phishing ou en récupérant le mot de passe d'une violation de données importante.
Ils profitent du processus de notification push. Les pirates tentent de se connecter à plusieurs reprises. Cela envoie à l'utilisateur légitime plusieurs notifications push, l'une après l'autre.
De nombreuses personnes se demandent si elles ont reçu un code inattendu qu'elles n'ont pas demandé. Mais lorsqu'une personne est bombardée de ce genre de messages, il peut être facile de cliquer par erreur pour approuver l'accès.
Le push-bombing est une forme d’attaque d’ingénierie sociale conçue pour :
- Embrouiller l'utilisateur
- Fatiguer l'utilisateur
- Inciter l'utilisateur à approuver la demande MFA pour donner accès au pirate
Moyens de lutter contre le push-bombing dans votre organisation
Former les employés
La connaissance est un pouvoir. Lorsqu'un utilisateur subit une attaque de type push-bombing, cela peut être perturbant et déroutant. Si les employés sont informés au préalable, ils seront mieux préparés à se défendre.
Expliquez aux employés ce qu'est le push-bombing et comment il fonctionne. Fournissez-leur une formation sur la marche à suivre s'ils reçoivent des notifications MFA qu'ils n'ont pas demandées.
Vous devez également fournir à votre personnel un moyen de signaler ces attaques. Cela permet à votre équipe de sécurité informatique d'alerter les autres utilisateurs. Elle peut ensuite également prendre des mesures pour sécuriser les identifiants de connexion de chacun.
Réduire la « prolifération » des applications professionnelles
En moyenne, les employés utilisent 36 services cloud différents par jour. Cela représente un grand nombre de connexions à gérer. Plus une personne doit utiliser de connexions, plus le risque de vol de mot de passe est élevé.
Examinez le nombre d’applications utilisées par votre entreprise. Recherchez des moyens de réduire la « prolifération » des applications en les consolidant. Des plateformes comme Microsoft 365 et Google Workspace proposent de nombreux outils derrière une seule connexion. La rationalisation de votre environnement cloud améliore la sécurité et la productivité.
Adoptez des solutions MFA résistantes au phishing
Vous pouvez contrecarrer complètement les attaques de type push-bombing en adoptant une autre forme d'authentification multifacteur. L'authentification multifacteur résistante au phishing utilise une clé d'accès à l'appareil ou une clé de sécurité physique pour l'authentification.
Il n'y a pas de notification push à valider avec ce type d'authentification. Cette solution est plus complexe à mettre en place, mais elle est également plus sécurisée que l'authentification multifacteur par SMS ou par application.
Appliquer des politiques de mots de passe fortes
Pour que les pirates puissent envoyer plusieurs notifications push, ils doivent disposer des identifiants de connexion de l'utilisateur. L'application de politiques de mots de passe strictes réduit le risque de violation d'un mot de passe.
Les pratiques standard pour des politiques de mots de passe forts incluent :
- En utilisant au moins une majuscule et une minuscule
- En utilisant une combinaison de lettres, de chiffres et de symboles
- Ne pas utiliser d'informations personnelles pour créer un mot de passe
- Stocker les mots de passe en toute sécurité
- Ne pas réutiliser les mots de passe sur plusieurs comptes
Mettre en place une solution avancée de gestion des identités
Les solutions avancées de gestion des identités peuvent également vous aider à prévenir les attaques de type push-bombing. Elles combinent généralement toutes les connexions via une solution d'authentification unique. Les utilisateurs n'ont alors qu'une seule connexion et une seule invite MFA à gérer, plutôt que plusieurs.
De plus, les entreprises peuvent utiliser des solutions de gestion des identités pour installer des politiques de connexion contextuelles. Celles-ci permettent un niveau de sécurité plus élevé en ajoutant une flexibilité dans l'application des accès. Le système peut bloquer automatiquement les tentatives de connexion en dehors d'une zone géographique souhaitée. Il peut également bloquer les connexions à certaines heures ou lorsque d'autres facteurs contextuels ne sont pas respectés.
Avez-vous besoin d’aide pour améliorer la sécurité de votre identité et de votre accès ?
L'authentification multifacteur seule ne suffit pas. Les entreprises ont besoin de plusieurs niveaux de protection pour réduire leur risque de violation du cloud.
Vous cherchez de l'aide pour renforcer la sécurité de votre accès ? Appelez-nous dès aujourd'hui pour planifier une discussion.
Article utilisé avec la permission de The Technology Press.