La mise en œuvre de l’authentification multifactorielle (MFA) est une excellente stratégie pour renforcer la sécurité de vos comptes en ligne, mais les attaques de phishing sophistiquées peuvent contourner la MFA. Envisagez donc d’adopter une méthode MFA solide et résistante au phishing pour lutter contre les campagnes de phishing modernes.


En quoi l’AMF traditionnelle est-elle sensible aux attaques de phishing ? Qu’est-ce qu’une solution MFA résistante au phishing, et comment peut-elle prévenir les attaques de phishing ?

Qu’est-ce que l’authentification multifactorielle ?

Comme le terme l’indique, l’authentification multifactorielle exige que vous présentiez deux facteurs de vérification ou plus pour accéder à vos comptes.

Un facteur dans un processus d’authentification est un moyen de vérifier votre identité lorsque vous essayez de vous connecter.

Les facteurs les plus courants sont :

  • Quelque chose que vous connaissez : un mot de passe ou un code PIN dont vous vous souvenez
  • Quelque chose que vous avez : une clé USB sécurisée ou un smartphone que vous avez
  • Quelque chose que vous êtes : votre reconnaissance faciale ou votre empreinte digitale
Lire  Boostez Votre Anonymat sur iPhone : Les Meilleurs VPN pour iOS en 2025

L’authentification multifactorielle ajoute des couches supplémentaires de sécurité à vos comptes. C’est comme ajouter une deuxième ou une troisième serrure à votre casier.

Dans un processus typique d’authentification multifactorielle, vous saisissez d’abord votre mot de passe ou votre code PIN. Ensuite, vous pouvez recevoir le deuxième facteur sur votre smartphone. Ce second facteur peut être un SMS ou une notification sur une application d’authentification. En fonction de vos paramètres MFA, il se peut que vous deviez vérifier votre identité au moyen de données biométriques.

Il existe de nombreuses raisons d’utiliser l’authentification multifactorielle, mais peut-on résister complètement au phishing ?

Malheureusement, la réponse est « non ».

Cybermenaces sur l’authentification multifactorielle

Image d'identifiants de connexion accrochés à un crochet sur un PC pour représenter le phishing

Bien que les méthodes d’AMF soient plus sûres que les méthodes d’authentification à facteur unique, les acteurs de la menace peuvent les exploiter en utilisant diverses techniques.

Voici comment les pirates peuvent contourner la méthode MFA.

Attaques par la force brutale

Si des pirates disposent de vos identifiants de connexion et que vous avez défini un code PIN à 4 chiffres à utiliser comme deuxième facteur, ils peuvent mener des attaques par force brute pour deviner le code PIN de sécurité afin de contourner l’authentification multifactorielle.

Piratage de la carte SIM

De nos jours, les acteurs de la menace utilisent des techniques comme l’échange de cartes SIM, le clonage de cartes SIM et le piratage de cartes SIM pour pirater votre carte SIM. Et une fois qu’ils ont le contrôle de votre carte SIM, ils peuvent facilement intercepter le second facteur basé sur les SMS, compromettant ainsi votre mécanisme MFA.

Attaques de fatigue MFA

Lors d’une attaque par fatigue MFA, un pirate vous bombarde d’un barrage de notifications push jusqu’à ce que vous cédiez. Une fois que vous avez approuvé la demande de connexion, le pirate peut accéder à votre compte.

Attaques de type « Adversaire au milieu » (Adversary in the Middle)

Les pirates peuvent utiliser des frameworks AiTM comme Evilginx pour intercepter les informations d’identification et le jeton de second facteur. Ils peuvent ensuite se connecter à votre compte et faire tout ce qui leur plaît.

Une fois que vous avez terminé le processus d’authentification multifactorielle, un cookie de navigateur est créé et conservé pour votre session. Les pirates peuvent extraire ce cookie et l’utiliser pour démarrer une session dans un autre navigateur sur un autre système.

Phishing

Le phishing, l’une des tactiques d’ingénierie sociale les plus courantes, est souvent utilisé pour accéder au second facteur lorsque l’acteur de la menace dispose déjà de votre nom d’utilisateur et de votre mot de passe.

Par exemple, vous utilisez un fournisseur de logiciels en tant que service (SaaS) et vos identifiants de connexion sont compromis. Un pirate vous appellera (ou vous enverra un e-mail) en se faisant passer pour votre fournisseur SaaS pour demander le deuxième facteur de vérification. Une fois que vous avez communiqué le code de vérification, le pirate peut accéder à votre compte. Et il peut voler ou crypter des données vous concernant ou concernant votre fournisseur.

De nos jours, les pirates utilisent des techniques de phishing avancées. Faites donc attention aux attaques de phishing.

Qu’est-ce que l’AMF résistante au phishing ?

L’AMF résistant au hameçonnage est insensible à tous les types d’ingénierie sociale, y compris les attaques de hameçonnage, les attaques de bourrage de crédence, les attaques de type « Man-in-the-Middle », etc.

Comme les humains sont au centre des attaques d’ingénierie sociale, l’AMF résistant au phishing élimine l’élément humain du processus d’authentification.

Pour être considéré comme un mécanisme d’AMF résistant au phishing, l’authentificateur doit être lié cryptographiquement au domaine. Et il doit reconnaître un faux domaine créé par un pirate.

Voici comment fonctionne la technologie MFA résistante au phishing.

Créer une liaison forte

En plus de l’enregistrement de votre authentificateur, vous devrez effectuer un enregistrement cryptographique, y compris la vérification de l’identité, afin de créer une liaison forte entre votre authentificateur et le fournisseur d’identité (IDP). Cela permettra à votre authentificateur d’identifier les faux sites Web.

Utiliser la cryptographie asymétrique

Une liaison solide entre deux parties basée sur la cryptographie asymétrique (cryptographie à clé publique) élimine le besoin de secrets partagés comme les mots de passe.

Pour démarrer les sessions, les deux clés (clé publique et clé privée) seront nécessaires. Les pirates ne peuvent pas s’authentifier pour se connecter car les clés privées seront stockées en toute sécurité dans des clés de sécurité matérielles.

Répondre uniquement aux demandes d’authentification valides

L’AMF résistant au phishing ne répond qu’aux demandes valides. Toutes les tentatives d’usurpation d’identité de demandes légitimes seront déjouées.

Vérifier l’intention

L’authentification MFA résistante au phishing doit valider l’intention de l’utilisateur en l’invitant à effectuer une action qui indique sa participation active à l’authentification de la demande de connexion.

Pourquoi vous devriez mettre en place une authentification MFA résistante au phishing ?

L’adoption d’un MFA résistant au phishing offre de multiples avantages. Elle élimine l’élément humain de l’équation. Comme le système est capable de repérer automatiquement un faux site Web ou une demande d’authentification non autorisée, il peut prévenir tous les types d’attaques de phishing visant à inciter les utilisateurs à donner leurs identifiants de connexion. Par conséquent, un MFA résistant au phishing peut prévenir les violations de données dans votre entreprise.

De plus, une bonne MFA résistante au phishing, comme la dernière méthode d’authentification FIDO2, améliore l’expérience utilisateur. En effet, vous pouvez utiliser la biométrie ou des clés de sécurité faciles à mettre en œuvre pour accéder à vos comptes.

Enfin, la MFA résistante au phishing renforce la sécurité de vos comptes et de vos appareils, améliorant ainsi la cybersécurité de votre entreprise.

L’Office of Management and Budget (OMB) des États-Unis a publié le document Federal Zero Trust Strategy, qui exige que les agences fédérales n’utilisent que des MFA résistantes au phishing d’ici à la fin de 2024.

Vous pouvez donc comprendre que l’AMF résistant au phishing est essentielle pour la cybersécurité.

Comment mettre en œuvre un MFA résistant au phishing ?

Image d'une femme assise devant un ordinateur portable et tenant un smartphone dans sa main gauche.

Selon le rapport sur l’état de l’identité sécurisée préparé par l’équipe Auth0 d’Okta, les attaques de contournement de l’AMF sont en augmentation.

Le phishing étant le principal vecteur d’attaque basé sur l’identité, la mise en œuvre d’une authentification multifactorielle résistante au phishing peut vous aider à sécuriser vos comptes.

L’authentification FIDO2/WebAuthn est une méthode d’authentification résistante au phishing largement utilisée. Elle vous permet d’utiliser des dispositifs communs pour vous authentifier dans des environnements mobiles et de bureau.

L’authentification FIDO2 offre une sécurité forte grâce à des identifiants de connexion cryptographiques uniques pour chaque site Web. Et les identifiants de connexion ne quittent jamais votre appareil.

De plus, vous pouvez utiliser les fonctions intégrées de votre appareil, comme un lecteur d’empreintes digitales, pour débloquer les informations de connexion cryptographiques.

Vous pouvez consulter les produits FIDO2 afin de sélectionner le bon produit pour mettre en œuvre un MFA résistant au phishing.

Une autre façon de mettre en œuvre un MFA résistant au phishing est d’utiliser des solutions basées sur l’infrastructure à clé publique (PKI). Les cartes à puce PIV, les cartes de crédit et les passeports électroniques utilisent cette technologie PKI.

Le MFA résistant au phishing est l’avenir

Les attaques de phishing se multiplient, et la mise en œuvre des seules méthodes traditionnelles d’authentification multifactorielle n’offre pas de protection contre les campagnes de phishing sophistiquées. Mettez donc en œuvre une authentification multifactorielle résistante au phishing pour empêcher les pirates de s’emparer de vos comptes.