ENTREPRENEURS

Le FBI avertit que l'authentification multifactorielle n'est pas aussi sûre que vous le pensez

Personne ne doit nous rappeler à quel point nous sommes exposés aux cybermenaces et à quel point ce problème est grave pour les entreprises, grandes et petites. Au cours des dernières années, la plupart des experts nous ont indiqué que l’un des moyens les plus fiables de prévenir ces attaques consiste à mettre en œuvre un logiciel de sécurité utilisant l’authentification multifactorielle, ou MFA.

Vous connaissez probablement déjà MFA. C'est le processus par lequel vous essayez de vous connecter à un site Web avec votre mot de passe, mais vous devez ensuite utiliser une autre forme d'authentification, généralement sous la forme d'un numéro d'identification personnel spécial (PIN) envoyé sur votre smartphone. Même si un pirate informatique vole votre mot de passe, il est peu probable qu'il dispose également de votre smartphone. MFA est donc vraiment sécurisé, n'est-ce pas?

Eh bien, peut-être pas autant que nous le pensons. Le mois dernier, le FBI a mis en garde les entreprises privées contre MFA. Selon cet article de Catalin Cimpanu, publié par ZDNet, l'agence indique qu'il existe une menace croissante d'attaques contre des organisations et leurs employés, susceptibles de contourner les solutions MFA.

Quels types de menaces? Il y en a au moins trois qui sont les plus populaires.

Le premier est un échange de carte SIM. C'est alors que le pirate informatique vole suffisamment d'informations en ligne à votre sujet pour qu'il puisse appeler la compagnie de téléphone avec ces informations, se faire passer pour vous et les persuader de rediriger les appels téléphoniques vers un smartphone dont il est le propriétaire. Son téléphone contient une nouvelle carte SIM (module d’identité d’abonné) contenant vos informations personnelles, qu’il a obtenue via des piratages supplémentaires ou achetée sur le Web "dark". Une fois cela fait, il reçoit ensuite les messages texte avec le code MFA spécial et peut accéder à ces comptes.

La seconde consiste à manipuler un site Web. Si un site Web n'est pas conçu correctement, un pirate informatique intelligent peut trouver un moyen de contourner les pages de connexion pour lesquelles un code PIN est requis, pour accéder directement aux informations du titulaire du compte, puis pour effectuer des transactions.

La troisième est simplement "l’ingénierie sociale", ce qui est une bonne façon de décrire lorsque des pirates informatiques dupent des utilisateurs comme vous et moi ainsi que nos employés pour qu’ils renoncent à des informations inattendues. Pour ce faire, vous pouvez naviguer subrepticement vers des sites de "phishing" ou de faux sites Web sur lesquels nous proposons des informations vitales, ou lorsque des cookies sont téléchargés avec du code malveillant, qui sont ensuite utilisés pour automatiser une escroquerie en piratant nos sessions en ligne où les mots de passe et les e-mails de récupération sont modifiés.

Tout cela est affreux et agaçant, mais il y a une bonne nouvelle: la plupart des experts en sécurité, et même le FBI, recommandent toujours d'utiliser MFA. Pourquoi? Parce que ce n’est pas parfait, mais pour l’instant, c’est tout.

"L'authentification multifactorielle continue à être une mesure de sécurité forte et efficace pour protéger les comptes en ligne, tant que les utilisateurs prennent des précautions pour ne pas devenir victime de ces attaques", a déclaré le FBI dans le rapport ZDNet.

Même les grands géants de la technologie sont d'accord. Microsoft a récemment déclaré que les attaques MFA étaient "tellement inhabituelles, qu'elles n'avaient même pas de statistiques", et les recherches de Google montrent que "le simple fait d'ajouter un numéro de téléphone de récupération à votre compte Google peut bloquer jusqu'à 100% des tentatives automatiques." bots, 99% des attaques de phishing en masse et 66% des attaques ciblées survenues au cours de notre enquête. "

La raison pour laquelle ces menaces n’ont pas encore fait son chemin, c’est qu’elles exigent beaucoup de travail du pirate informatique et ne peuvent pas être automatisées à grande échelle. Bien sûr, cela peut valoir le coup pour un gros poisson, mais pour la plupart d’entre nous, il ya plus à gagner avec d’autres formes de malware moins onéreuses, telles que les ransomwares.

Allez-y, utilisez MFA comme solution de sécurité de choix pour toutes les applications de votre entreprise et essayez d'utiliser les outils les plus puissants disponibles (Cimpanu dirige les lecteurs vers ce superbe résumé des solutions MFA recommandées par Microsoft). Mais ne baissez pas la garde. Je parie que, à mesure que les pirates informatiques deviendront plus intelligents et découvriront comment automatiser ces attaques, MFA deviendra de plus en plus vulnérable.

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Close
Close