Navigation
Les derniers articles
Suivez en direct

Qu’est-ce que le MFA bombing et comment s’en protéger ?

Le MFA bombing
Le bombardement MFA est une technique d’attaque ciblant l’authentification multi-facteurs, provoquant « une fatigue de l’utilisateur » par des demandes multiples pour accéder frauduleusement à ses comptes.

Le MFA bombing, ou bombardement MFA, ou encore bombardement de l’authentification multi-facteurs, émerge comme une nouvelle méthode d’attaque majeure en matière de cybersécurité. Cette technique cible les systèmes d’authentification multi-facteurs (MFA) que de nombreuses plateformes et services numériques utilisent pour fournir une couche supplémentaire de sécurité. Le MFA est bien sûr une solution efficace pour contrer de nombreux types d’attaques liées aux vols d’identités en particulier mais elle n’est pas à l’abri de stratagèmes sophistiqués tels que le bombardement MFA.

La tactique consiste à submerger l’appareil d’un utilisateur avec de multiples demandes d’authentification rapides et consécutives. Ces demandes peuvent être déclenchées en tentant de se connecter en utilisant les identifiants de la victime sur divers services qui utilisent le MFA. En conséquence, l’utilisateur pourrait par erreur approuver une demande d’authentification ou devenir tellement submergé qu’il désactive la fonction MFA.

L’objectif des attaquants utilisant cette méthode est d’exploiter un moment de confusion ou de frustration chez la victime pour accéder sans autorisation à leurs comptes. Inutile de rappeler que, sitôt l’authentification réussie, le criminel pourra entraîner un vol de données personnelles, un vol financier, ou un accès non autorisé à des données sensibles.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
image 10
source image : Krebs on Security (voir lien vers l’article ci-dessous)

Comment se protéger contre le MFA bombing?

Pour se protéger contre le MFA bombing, plusieurs stratégies peuvent être adoptées afin de renforcer la sécurité de vos comptes en ligne :

  1. Utiliser des applications d’authentification :

    Optez pour des applications comme Google Authenticator ou Authy plutôt que la réception de codes par SMS. Ces applications génèrent des codes qui ne peuvent pas être interceptés de la même manière que les SMS.
  2. Limiter les tentatives de connexion :

    Configurez vos systèmes pour limiter le nombre de tentatives de validation MFA. Cela peut aider à éviter les attaques par bombardement, où de nombreuses demandes sont envoyées en peu de temps.
  3. Alertes de sécurité :

    Activez les notification de connexions inhabituelles ou les tentatives répétées de validation MFA. Cela vous permettra d’être immédiatement informé en cas d’activité suspecte.
  4. Formation et sensibilisation :

    Assurez-vous que tous les utilisateurs soient informés des risques du MFA bombing et des bonnes pratiques pour éviter les pièges courants, comme la révélation de codes MFA en réponse à des sollicitations douteuses.
  5. Utiliser une double vérification :

    Dans les cas où la sécurité est d’une importance cruciale, envisagez d’utiliser des mécanismes de double vérification, en complément du MFA, pour renforcer la sécurité.
  6. Révocation rapide des sessions :

    Mettez en place des procédures pour la révocation rapide des sessions et des accès en cas de suspicion d’attaque MFA bombing, pour minimiser les dommages potentiels.

La vigilance reste néanmoins toujours la mère des vertus face aux demandes d’authentification non sollicitées 😉

Pour en savoir plus

What is MFA bombing? Apple users were targeted using this phishing technique

Some Apple users have reported phishing attacks using the password reset feature.

MFA Fatigue Attack: Definitions & Best Practices | BeyondTrust

A multi-factor authentication (MFA) fatigue attack – also known as MFA Bombing or MFA Spamming – is a social engineering cyberattack strategy where…

Recent ‘MFA Bombing’ Attacks Targeting Apple Users

Several Apple customers recently reported being targeted in elaborate phishing attacks that involve what appears to be a bug in Apple’s password reset feature. In this scenario, a target’s Apple devices are forced to display dozens of system-level prompts that prevent the devices from being used until the recipient responds « Allow » or « Don’t Allow » to each prompt.

(Re)découvrez également:

Les 3 recommandations pour lutter contre la fatigue sur l’authentification multi-facteur MFA

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.