Microsoft affirme que 99,9% de tous les hacks de compte peuvent être évités en ajoutant MFA
L'authentification à deux facteurs (2FA) ou l'authentification à plusieurs facteurs (MFA) n'est pas (et ne sera jamais) parfaite. Les cybercriminels motivés ont déjà développé une variété d'outils et de techniques différents qui les aident à contourner 2FA, et ils les ont utilisés dans des attaques réelles. Tous les deux jours, nous lisons comment les codes OTP peuvent être hameçonnés et comment les supports comme le courrier électronique et les SMS n'offrent pas la sécurité requise pour transmettre ce type d'informations. Même les applications spécialisées comme Google Authenticator ne sont pas à l'abri des attaques réussies, ce qui fait que beaucoup doutent de la sécurité supplémentaire fournie par 2FA. Dans une présentation lors de la conférence RSA du mois dernier à San Francisco, Alex Weinert, directeur de la sécurité des identités de Microsoft, a présenté des statistiques qui montrent à quel point ces craintes peuvent être sans pertinence.
Presque tous les comptes d'entreprise compromis n'utilisent pas MFA
Les chiffres présentés par Weinert considéraient les utilisateurs d'entreprise d'Azure AD, le système de gestion des identités et des accès de Microsoft, et ils agissent comme une preuve (comme si une preuve était nécessaire) que les comptes basés sur le cloud d'entreprise sont compromis à tout moment. Au cours du seul mois de janvier, Microsoft a détecté des attaques réussies contre pas moins de 1,2 million de comptes. Selon Weinert, cela représente 0,5% de tous les utilisateurs, ce qui peut ne pas sembler beaucoup, mais si l'on considère que ce ne sont que les statistiques mensuelles, les choses commencent à sembler un peu plus inquiétantes. Ce qui est encore plus effrayant, cependant, c'est l'évitable évitabilité de toutes ces attaques.
Un énorme 99,9% de tous les comptes compromis avec succès n'étaient pas protégés par MFA., Ce qui montre vraiment à quel point le focus peut être mal placé. Alors que les gens ne parviennent pas à activer l'authentification multifacteur car ils craignent qu'un attaquant motivé ne vole leurs codes temporaires, les attaquants eux-mêmes s'introduisent dans les comptes sans avoir besoin de tels codes. Il est clair que les taux d'adoption sont toujours faibles, et bien que les chercheurs en sécurité qui découvrent des failles dans les systèmes 2FA le fassent pour le plus grand bien de tous, en soulignant les faiblesses, ils dissuadent par inadvertance les gens de la fonctionnalité. Il faut dire que ce n'est pas le seul problème.
Les protocoles d'authentification hérités et la mauvaise gestion des mots de passe aident également les pirates
Nous ne devons pas oublier que nous parlons de comptes d'entreprise, ce qui rend immédiatement les choses beaucoup plus compliquées. Comme Microsoft l'a souligné, souvent, MFA n'est même pas une option pour les utilisateurs.
Selon le fournisseur de système d'exploitation le plus populaire au monde, la grande majorité des attaques par prise de contrôle de compte visent des organisations qui utilisent ce que Microsoft appelle «l'authentification héritée». Ces organisations ont construit l'ensemble de leurs infrastructures informatiques autour d'anciens protocoles qui n'autorisent pas du tout 2FA. De toute évidence, les attaquants savent à quel point ces protocoles peuvent être faibles et ils n'hésiteront pas à tirer parti de ce fait. Malheureusement, le passage à un système d'authentification plus moderne et sécurisé implique souvent beaucoup de travail et de temps d'arrêt que les entreprises ne peuvent tout simplement pas se permettre, ce qui signifie que les utilisateurs n'ont jamais la possibilité d'utiliser l'authentification à deux facteurs. Cela ne devrait cependant pas être une excuse pour la mauvaise sécurité de leur compte.
Alex Weinert a déclaré dans sa présentation que les pirates avaient utilisé la pulvérisation de mots de passe pour pirater environ 40% des comptes compromis de janvier. Dans une attaque par pulvérisation de mots de passe, les cybercriminels utilisent une liste relativement courte de mots de passe couramment utilisés et les essaient contre une plus large gamme de noms d'utilisateurs. Étant donné que de nombreuses personnes ont tendance à utiliser des mots de passe courants et faciles à deviner, les attaques réussissent souvent.
Un autre 40% des 1,2 million de comptes qui ont été introduits par effraction au cours du premier mois de l'année ont été victimes d'attaques de rediffusion. Le replay de violation est apparemment le terme de Microsoft pour le bourrage d'informations d' identification - une attaque au cours de laquelle les pirates utilisent des noms d'utilisateur et des mots de passe volés dans un service en ligne pour ouvrir des comptes sur plusieurs autres sites Web. Encore une fois, l'attitude négligente des gens envers la sécurité de leurs comptes et leur tendance à réutiliser les mots de passe font de l'attaque un succès.
En théorie, la prévention des attaques par prise de contrôle de compte dans un environnement d'entreprise est un travail relativement simple, mais le fait est que plusieurs facteurs sont en jeu. La découverte de vulnérabilités a jeté un doute sur l'efficacité de 2FA, qui, associée au fait que la fonctionnalité n'est pas disponible dans tous les systèmes d'entreprise, se traduit par de faibles chiffres d'adoption.
Pour vraiment améliorer la situation, les gens doivent se rendre compte de l'importance d'une bonne gestion des mots de passe. Les entreprises et les fournisseurs de services doivent faire tout ce qui est en leur pouvoir pour que la sécurité supplémentaire fournie par 2FA soit disponible à tout moment, et les utilisateurs doivent accepter le fait que même si ce n'est pas une panacée, cette fonctionnalité simple peut souvent faire la différence entre un compte compromis et sécurisé.