Tout le génie des attaques par phishing, c’est de pouvoir s’en prendre à pratiquement n’importe quoi. La plupart des attaques par phishing visent à dérober les identifiants d’un utilisateur (son nom d’utilisateur et son mot de passe), ce qui n’est pas très difficile, comme on le sait bien dans le monde de la cybersécurité.
Depuis des années maintenant, nous savons que la seule protection contre ce phénomène consiste à associer les mots de passe (premier facteur d’authentification) à une couche de contrôle supplémentaire (un second facteur), ce que l’on nomme authentification à deux facteurs (2FA) ou authentification multifacteur (MFA). En théorie, toutes les méthodes de MFA permettent de résister au phishing et sont censées stopper toutes les attaques de ce type.
Malheureusement, certains types de MFA sont susceptibles d’être elles-mêmes victimes d’attaques par phishing. Les équipes de défense sont ainsi confrontées à une question primordiale : la MFA constitue-t-elle véritablement un mécanisme de défense viable face au phishing ?
La réponse simple est : oui. Même une MFA imparfaite est préférable à l’absence de MFA, et elle suffira à stopper la plupart des attaques. L’utilisation de la MFA renforce toujours votre posture de sécurité.
Néanmoins, comme l’explique cet article, la MFA peut prendre différentes formes, dont certaines risquent davantage que d’autres d’être contournées par les attaquants. Les défenseurs doivent donc prendre le temps de bien comprendre quels sont les types de MFA qui résistent au phishing et appliquer ces méthodes pour empêcher tout accès non autorisé.