Zffoto - stock.adobe.com

« MFA : la sensibilisation des collaborateurs est nécessaire » (Antoine Coutant, Synetis)

La MFA, et plus largement l’authentification forte, constitue un moyen efficace de renforcer la sécurité d’un système d’information. Ce n’est toutefois pas la panacée et ce sentiment de sécurité peut être trompeur.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 30 : Là où commencent les cyberattaques

Les fuites de mots de passe sont dramatiques pour les organisations et ceux-ci sont souvent récupérés lors d’attaques de phishing. L’attaquant qui réussit à usurper l’identité d’un collaborateur, dont le compte n’est pas protégé par MFA, peut ensuite mener des attaques de type phishing interne, et tenter de réaliser une élévation de privilèges pour prendre la main sur un domaine. Et éventuellement chiffrer et exfiltrer des données.

Antoine Coutant, directeur du CERT Synetis, explique : « le principal vecteur d’attaque que nous identifions chez les clients auprès de qui nous intervenons en gestion de crise est le phishing. Nous avons aussi observé des infostealers, avec la problématique du PC personnel. Les enfants du collaborateur installent des jeux sur le PC ou le téléphone de l’entreprise et peuvent occasionner des brèches de sécurité ».

Il n’est ainsi pas rare que l’historique de navigation d’un poste professionnel soit surprenant. L’installation de jeux et de mods qui peuvent embarquer des infostealers sur du matériel professionnel est un réel danger pour le SI de l’organisation.

« Quelle que soit l’organisation, lorsque nous intervenons sur un incident en tant que CERT, toutes les victimes regrettent de ne pas avoir mené d’exercices d’audit ou de sensibilisation auprès de leurs collaborateurs. »
Antoine CoutantDirecteur du CERT Synetis

Depuis une dizaine d’années, le responsable pousse en faveur de mesures de sensibilisation des utilisateurs et cette problématique reste, en 2024, plus que jamais d’actualité : « il faut le répéter en permanence et challenger les collaborateurs avec des opérations de Red Team, avec des simulations de phishing sur cette question primordiale. Quelle que soit l’organisation, lorsque nous intervenons sur un incident en tant que CERT, toutes les victimes regrettent de ne pas avoir mené d’exercices d’audit ou de sensibilisation auprès de leurs collaborateurs ».

Face à ce risque, une autre arme pour l’entreprise est de muscler les accès à son système d’information. Sur ce plan, l’authentification multifacteur, la MFA, est une protection supplémentaire qui vient sérieusement compliquer le travail des attaquants pour accéder au système d’information. « Il ne s’agit pas de la solution ultime », note Antoine Coutant, « mais une solution de sécurité très intéressante qui doit être utilisée en complément d’autres solutions et de la bonne hygiène qui incombe à chaque utilisateur. Un peu comme un château fort, on construit une enceinte supplémentaire de plus en plus difficile à percer par les attaquants ».

De la difficulté de convaincre les futurs utilisateurs

Faire accepter le déploiement d’une MFA auprès des collaborateurs n’a rien de trivial. Un tel outil s’identifie pour les utilisateurs à des contraintes supplémentaires qui vont les affecter très directement dans leur quotidien. « Il faut baser son argumentaire sur l’exemple », estime Antoine Coutant.

« Tous les comptes doivent être inclus dans le périmètre d’authentification forte, quel que soit le niveau hiérarchique de l’utilisateur dans l’organisation. »
Antoine CoutantDirecteur du CERT Synetis

« L’utilisateur pense au début que cela va être contraignant, qu’il va devoir utiliser son téléphone et taper un code supplémentaire. Cela lui paraît pénible, mais quand on leur présente les différentes techniques et les outils, qu’on les sensibilise sur la facilité pour un attaquant de deviner leur mot de passe, ils sont beaucoup plus enclins à accepter le déploiement d’une MFA ». L’expert souligne que des solutions comme celle d’Okta, par exemple, sont extrêmement simples à utiliser.

Pour déployer une telle solution, le responsable estime nécessaire de bien choisir ses promoteurs. Même si, avec la sensibilisation, le chef de projet parvient à démontrer l’importance d’une solution MFA, il doit pouvoir s’appuyer sur des champions pour ensuite étendre le cadre du déploiement plus largement.

En outre, il faut ne pas aller trop lentement, et surtout viser à couvrir tout le périmètre, toute l’organisation. « Pour moi, il ne doit pas y avoir de passe-droit », rappelle Antoine Coutant : « tous les comptes doivent être inclus dans le périmètre d’authentification forte et on ne peut pas se permettre de laisser de côté un compte, quel que soit le niveau hiérarchique de l’utilisateur dans l’organisation. Le VIP peut être une cible. La cybersécurité n’est pas là pour embêter les utilisateurs, mais pour protéger l’outil de travail ».

La MFA n’est pas infaillible

Ces systèmes d’authentification à facteurs multiples permettent de prévenir avec succès certains types d’attaques, mais souffrent aussi de vulnérabilités dont il faut tenir compte. Les attaques de type MFA Fatigue ou de SIM Swap ont été largement documentées. La sensibilisation du personnel permet de prévenir ce type d’attaques.

Le vol de session (ou Session hijacking), est une pratique qui existe depuis plusieurs années et qui est très puissante, mais parmi les méthodes de contournement, la MFA Fatigue a beaucoup fait parler d’elle. Elle a permis l’intrusion dans le système d’information d’Uber en 2022.

Cette pratique consiste à submerger l’utilisateur sous des milliers de requêtes jusqu’au moment où il en accepte une qui permet à l’attaquant d’entrer sur son compte : « il existe d’autres méthodes de contournement technique, mais j’y mettrais un certain bémol. Ces méthodes existent, mais elles sont extrêmement complexes à mettre en œuvre. Les efforts à déployer pour les mettre en place sont disproportionnés par rapport aux gains que peuvent en attendre les attaquants ».

L’attaquant peut par exemple compromettre un appareil enrôlé dans la MFA avec un cheval de Troie. Il est aussi possible de dupliquer un générateur OTP (One-Time Password) : « c’est théoriquement possible, mais dans les faits, c’est quelque chose que nous n’avons jamais observé », modère l’expert.

La conclusion de ses investigations est que la méthode de l’OTP reste très performante. Elle présente l’avantage d’être très simple d’utilisation, mais elle implique que les collaborateurs ne peuvent pas faire n’importe quoi avec le matériel qui leur est confié.

Attention aux erreurs de configuration 

S’il existe des techniques pour déjouer les solutions de MFA, le plus simple pour un attaquant reste de profiter des éventuelles erreurs de configuration pour déjouer cette brique de sécurité.

« Tant qu’un audit n’est pas mené, et qu’une surveillance n’est pas en place [...], il y a toujours un risque. »
Antoine CoutantDirecteur du CERT Synetis

Sur ce plan, la question du périmètre de déploiement de la MFA se pose pleinement, tant sur le nombre d’utilisateurs concernés, que sur celui d’applications. « Un de nos clients avait déployé une MFA et s’estimait à l’abri », confie Antoine Coutant. Las, « sa MFA était mal configurée et n’était pas activée sur certains comptes. Les attaquants sont parvenus à repérer ces comptes et, par usurpation d’identité, ont lancé une opération de phishing interne. Chez un autre client, une attaque de ce type a donné lieu à une exfiltration de données ».

Pour le RSSI qui a déployé une MFA, une telle opération de phishing interne est difficile à comprendre, et identifier que ce sont les comptes où la MFA a été débrayée qui sont la cause de l’attaque… « c’est un peu comme des serveurs sur lesquels l’EDR n’est pas déployé. C’est précisément sur ces machines que l’attaquant va porter son attaque et il va les utiliser comme pivots. Tant qu’un audit n’est pas mené, et qu’une surveillance n’est pas en place – pour s’assurer que les outils de sécurité sont bien déployés, qu’il n’y a pas de problème de configuration, et que le personnel est sensibilisé –, il y a toujours un risque ». 

Témoignage issu du Summit Cybersécurité BrightTalk/LeMagIT de juin 2024. Il est disponible ici dans son intégralité.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)