Sécurité : Microsoft renforce sa double authentification MFA

Avec le lancement d’Office 365, Microsoft avait progressivement généralisé l’authentification forte. Notamment grâce à son application mobile Authenticator. Mais une nouvelle menace a forcé l’éditeur à revoir sa copie. Changements en vue dès la fin février 2023.

L’authentification forte, ou MFA (Mutli Factor Authentication), n’est plus une nouveauté pour vous. Ni pour personne d’ailleurs. Tous les éditeurs d’applications en ligne, de Google à LinkedIn en passant par les réseaux sociaux grand public, ont adopté cette procédure d’identification. Elle consiste à ajouter à votre mot de passe une seconde protection, la combinaison seule des deux vous laissant accéder au service.

Il faut dire que la protection de nos comptes en avait bien besoin. Malgré, ou à cause de, la digitalisation de nos activités, la protection de nos comptes et de notre vie numérique est devenue un enjeu majeur. Surtout si l’on considère que, année après année, le grand gagnant du palmarès des mots de passe les plus utilisés reste l’indéboulonnable « 123456 ».

Office 365 dope l’authentification MFA

Microsoft n’a pas échappé à la règle. La commercialisation massive de ses services en ligne, initiée en 2011 avec Office 365, à imposé à l’éditeur de continuellement renforcer la protection des comptes de ses utilisateurs. Cet effort s’est matérialisé par l’application Authenticator, devenue un standard du marché. Elle permet de compléter votre mot de passe – quelque chose que vous savez – avec un autre facteur d’authentification – quelque chose que vous possédez, comme votre smartphone par exemple.

Dans les faits, votre compte est associé à votre smartphone, et chaque demande d’authentification MFA relaie une demande d’approbation sur celui-ci par le biais de l’application Authenticator. D’autres facteurs supplémentaires peuvent venir s’ajouter pour approuver la demande, comme un facteur biométrique (quelque chose qui n’appartient qu’à vous, comme une reconnaissance faciale ou une empreinte digitale).

Il est important de noter que d’autres formes d’approbation sont aussi permises par Microsoft, en dehors d’Authenticator, telles que l’appel téléphonique ou l’envoi d’un code par SMS. Elles utilisent toutes le même médium – votre smartphone – mais des méthodes différentes. Dans le cas de l’appel téléphonique, Microsoft vous contacte sur votre mobile et la validation passe par l’appui sur la touche « # ».

Attaques de fatigue vs. MFA renforcé

C’est justement ce type d’approbation sans saisie – appui sur le bouton d’approbation d’Authenticator ou sur la touche « # » du téléphone – qui pose souci. En effet, en cas de vol de votre mot de passe, un pirate potentiel va utiliser ces méthodes, si elles sont permises par votre organisation, pour vous amener à valider le deuxième facteur d’authentification.

Le risque d’une approbation malencontreuse n’est pas nul une fois la barrière de votre code secret franchie

Ce genre d’attaque, dite « de fatigue », repose sur une certaine forme d’exaspération digitale, qui nous amène à repousser rapidement et sans y prêter attention les sollicitations qui détournent notre attention. Comme les notifications du téléphone que nous faisons glisser machinalement vers le haut de l’écran, ou les conditions générales que nous balayons pour accéder rapidement à un service en ligne.

Selon Microsoft, 1% des utilisateurs attaqués de cette façon approuvent dès la première tentative une demande de connexion dont ils ne sont pas l’auteur. Si ce chiffre peut paraître faible, il faut le mettre en regard du nombre de comptes Microsoft (cela se compte en dizaines de millions) et sur la relative faiblesse générale des mots de passe (ou plutôt, leur réutilisation à l’infini sur plusieurs comptes).

Microsoft a donc décidé de réagir, fidèle aux efforts de sécurisation dont la société américaine fait preuve depuis maintenant plusieurs années. Et réagir rapidement, puisque des changements ont été annoncés en octobre 2022 pour une mise en place seulement 4 mois plus tard à l’échelle mondiale. Compte tenu de l’ampleur de ces modifications, il s’agit d’un défi de taille.

Activation à marche forcée

Concrètement, Microsoft activera progressivement par défaut dans ses comptes dès le 27 février 2023 une fonction appelée number matching – correspondance numérique. A chaque demande de connexion, l’application à laquelle vous vous connectez présentera un nombre de 10 à 99, généré aléatoirement. Vous devrez donc saisir ce nombre dans Authenticator pour pouvoir approuver la demande de connexion.

Si vous n’êtes pas à l’origine de cette demande de connexion, vous n’aurez pas de nombre en face de vous. L’approbation par dépit ne sera donc plus possible. Autre avantage : Authenticator affichera des informations complémentaires au moment de la connexion. Il s’agira du service à l’origine de la demande d’approbation, de l’appareil sur lequel elle a été réalisée ou encore de sa localisation géographique.

Cette nouvelle mouture d’Authenticator identifie plus clairement l’origine des demandes d’authentification, pour peu qu’on soit attentif

Cette méthode présente plusieurs avantages. A l’usage, la saisie du nombre à deux chiffres n’est pas contraignante, la taille limitée du code évitant les erreurs et ne ralentissant quasiment pas le processus d’authentification. Surtout, tout en empêchant un pirate de se connecter, elle vous fait prendre conscience que votre compte est à risque, puisque la première étape, celle du mot de passe justement, a été franchie à votre insu.

Comment profiter de cette mise à niveau ? Il n’y a rien de particulier à faire, puisque la fonction sera activée par Microsoft, si ce n’est informer vos utilisateurs. Et leur demander de mettre à jour Authenticator : seules les versions récentes seront supportées pour saisir le code à deux chiffres. Profitez-en évidemment pour leur demander de mettre à jour leur mot de passe, avec un code unique et propre à leur compte Microsoft, histoire de renforcer (aussi) cette première barrière.

Protection informatique des PME : à quand des dirigeants exemplaires ?

Ces dernières années ont montré comment les attaques informatiques se sont sophistiquées. De larges et aveugles, elles sont devenues précises et ciblées. Avec dans le viseur, les utilisateurs. Mais pas n’importe lesquels : ceux qui disposent d’accès élargis, et de dérogations à la protection informatique de PME. Suivez mon regard…

Il y a une dizaine d’année, réaliser une attaque informatique était relativement simple : vous achetiez sur le Darknet l’accès à un réseau de machines « zombies », auxquelles vous faisiez exécuter des programmes malveillants en masse. Que ce soit pour envoyer des SPAM par millions, ou pour se connecter simultanément au service en ligne que vous souhaitiez faire « tomber » – le principe des attaques dites de « déni de service ».

Dans l’intervalle, hébergeurs et éditeurs ont progressivement amélioré leurs outils pour se prémunir de ces comportements. Pas au point de les rendre inefficaces, mais suffisamment pour qu’ils soient moins rentables. Et demandent plus d’efforts. A n’en pas douter, les hackers n’avaient aucune envie de voir leurs revenus chuter. Alors, ils se sont adaptés.

On donc vu apparaître plus récemment des attaques plus complexes, telles que les ransomwares. Celles-ci consistent à affecter une organisation en particulier, en bloquant tout ou partie de son système d’information. Si diffuser un rançongiciel à large échelle peut encore avoir des chances d’aboutir, cibler l’attaque s’avère bien plus payant. Car, on l’a vu, les outils de sécurité informatique se sont renforcés. Et surtout, adapter sa tactique à son adversaire est toujours plus efficace.

Des attaques informatiques ciblées

Les pirates informatiques se sont donc attachés à se donner le maximum de chance de réussite. Comment ? En faisant en sorte de rendre l’attaque la plus discrète possible. Et en s’attaquant, comme le ferait tout prédateur, à la proie la plus fragile. Il s’agit fatalement d’un utilisateur, maillon faible par excellence, présentant des caractéristiques toujours identiques : permissions plus larges que la moyenne, et exceptions plus nombreuses que la moyenne.

Il faut admettre que ce profil correspond en général, mais pas uniquement, aux postes les plus élevés dans l’organisation. Pourquoi : parce qu’un directeur devra pouvoir accéder à tous les fichiers de l’entreprise. Et exigera souvent de pouvoir travailler avec un matériel plus exotique que le reste des collaborateurs, ou contourner les règles générales de sécurité informatiques imposées à tous par ces satanés informaticiens…

En matière de sécurité, imposer des exceptions n’est pas raisonnable.

En bon hacker qui se respecte, l’attaquant commencera donc logiquement par identifier ce type de profil pour initier son attaque. La multiplication des cyberattaques par ransomware s’est donc accompagnée de ce qu’on appelle l’ingénierie sociale. Notre présence sur les réseaux sociaux est en effet une manne d’informations inespérée pour cybercriminels. En quelques clics, il est en effet possible de savoir qui dirige telle entreprise, et quels sont ses collègues.

Il est également possible de glaner des informations concrètes comme le prénom et de date de naissance d’un(e) conjoint(e). Et de faire des premières tentatives d’intrusion à l’aide de mots de passe basés sur ces informations. Mais aussi de cibler en premier lieu des collaborateurs qui pourraient, par rebond, laisser accéder aux personnes finalement visées.

La protection informatique des PME commence par en haut

Une fois le responsable d’entreprise piraté, c’est le bingo. Il a accès aux informations d’entreprise les plus sensibles, et peut aussi faire exécuter des ordres à la majeure partie des employés. Une fois le ver dans le fruit, les possibilités sont donc nombreuses : usurpation d’identité, lancement d’ordres bancaires, cryptage des données de l’entreprise à large échelle, ou encore chantage à la révélation de documents sensibles.

Plus le profil piraté est élevé, plus les chances d’aboutir de l’attaque sont fortes.

On comprend donc aisément que leur position même dans leur entreprise fait porter aux dirigeants des PME une responsabilité accrue quant à la protection de leur informatique et de leurs données. Même sans être plus faillibles que d’autres employés, ils représentent une cible de choix, une sorte de boîte de Pandore que les hackers viseront plus naturellement parce qu’elle sera plus prometteuse si elle vient à s’ouvrir.

Contrairement aux habitudes solidement ancrées dans le PME, les restrictions et les protections devraient donc s’aligner sur le niveau hiérarchique dans l’entreprise. Et imposer l’utilisation d’outils et de bonnes pratiques tels les gestionnaires de mots de passe, le contrôle d’accès basé sur les rôles ou l’emploi de comptes différents à moindres privilèges. Parce qu’un dirigeant est bien plus exposé qu’un employé lambda. D’autant plus s’il n’est pas exemplaire dans l’utilisation de son informatique.