Sécurisation des notifications push contre les attaques de la « MFA Fatigue »

Depuis longtemps maintenant, l’authentification multifacteur (MFA) est considérée comme la méthode la plus efficace pour les organisations de réduire le risque en cas de piratage de mot de passe.

Lorsqu’elle est correctement implémentée, la MFA oppose aux attaquants un obstacle gênant ou un mur infranchissable, selon le cas. Avec la MFA, on pourrait croire que la plupart des vulnérabilités connues liées à la sécurité des mots de passe s’évaporent.

La réalité est plus nuancée. La MFA se décline en une série de technologies bien distinctes. Même si elles sont basées sur le même principe, leur niveau de sécurité et leur facilité d’utilisation varient d’une solution à l’autre. Dans tous les cas, n’importe quelle méthode de MFA est préférable à l’absence totale de MFA. Pour autant, cela ne veut pas dire que toutes les solutions offrent le même niveau de sécurité en conditions réelles.

Les cybercriminels cherchent en permanence de nouveaux moyens de défaire la MFA, et ils y parviennent de plus en plus souvent. Par exemple, l’envoi de mots de passe à usage unique (OTP) par SMS n’est plus considéré comme une méthode fiable et sécurisée, et même certaines applications d’authentification sur smartphone se sont avérées vulnérables dans certaines circonstances.

Récemment, des acteurs malveillants ont commencé à s’en prendre à une autre technologie de MFA populaire : les notifications push.

En pratique, les solutions push demandent à l’utilisateur de confirmer l’authenticité d’une tentative de connexion en envoyant une notification unique sur son smartphone. Il lui suffit de répondre par oui ou par non. Le principe est simple : si la tentative d’accès est malveillante, l’utilisateur véritable refuse la demande de connexion.

Source