Qu’est-ce qu’une attaque MFA Fatigue ou MFA Bombing ?
Une attaque de MFA Fatigue, également appelée MFA Bombing ou spam de notifications d’authentification, est une technique d’ingénierie sociale qui cible l’utilisateur plutôt que la technologie de sécurité elle-même. Dans ce type d’attaque, les cybercriminels envoient de manière répétée des demandes d’authentification multifacteur (MFA) sur l’appareil de la victime, dans l’espoir que l’accumulation de notifications provoque confusion, frustration ou lassitude. À force d’être sollicité, l’utilisateur peut finir par approuver l’une de ces demandes sans se rendre compte qu’elle correspond à une tentative de connexion frauduleuse.
Ces attaques se sont multipliées avec la généralisation des solutions MFA basées sur les notifications push, appréciées pour leur simplicité d’utilisation. Bien que l’authentification multifacteur reste un mécanisme de sécurité essentiel, les attaquants ont compris qu’en sollicitant continuellement les utilisateurs, ils pouvaient parfois contourner cette protection supplémentaire. Plutôt que d’exploiter une faille technique, les attaques MFA Fatigue misent sur les réactions humaines, ce qui en fait une méthode particulièrement efficace pour compromettre des comptes et accéder à des ressources sensibles.
Comment les cybercriminels exécutent une attaque de MFA Fatigue
1. Vol des identifiants
Les attaquants obtiennent d’abord le nom d’utilisateur et le mot de passe de leur victime, souvent via du phishing, une fuite de données ou la réutilisation de mots de passe.
2. Bombardement de notifications MFA
À l’aide de ces identifiants, ils multiplient les tentatives de connexion, déclenchant une série de demandes d’authentification sur l’appareil de la victime.
3. Ingénierie sociale
Pour augmenter leurs chances de succès, ils peuvent se faire passer pour le support informatique et demander à la victime de valider la notification reçue.
4. Compromission du compte
Dès qu’une demande est approuvée, l’attaquant obtient l’accès au compte et peut consulter des données sensibles ou se déplacer au sein du système d’information.
Risques concrets des attaques MFA Fatigue
Pour les PME, les attaques de type MFA fatigue peuvent être particulièrement dangereuses, car elles disposent souvent de ressources IT limitées et de capacités de surveillance de sécurité moins avancées. Une seule validation accidentelle peut suffire à donner aux cybercriminels l’accès à des systèmes critiques comme les emails, le stockage cloud ou les applications métier, souvent sans être détectée immédiatement.
Les attaquants peuvent ensuite accéder discrètement à des données sensibles, envoyer des emails frauduleux au nom de l’entreprise ou explorer d’autres systèmes connectés. Comme les petites structures ne disposent généralement pas d’équipes dédiées à la surveillance en temps réel des journaux d’authentification, l’intrusion peut durer plus longtemps et causer davantage de dommages.
Au-delà de l’aspect technique, ces attaques peuvent rapidement perturber les opérations quotidiennes et nuire à la confiance des clients. Pour de nombreuses PME, même une intrusion de faible ampleur peut entraîner des pertes financières, des atteintes à la réputation et des interruptions dont la récupération demande du temps et des ressources.
Pourquoi le MFA traditionnel est vulnérable aux attaques de type MFA Fatigue
Le MFA traditionnel, et plus particulièrement l’authentification par notifications push, est largement adopté en raison de sa simplicité d’utilisation. Cependant, cette facilité d’usage constitue également son principal point faible face aux attaques de type MFA fatigue. Dans la plupart des cas, les notifications fournissent peu d’informations sur la tentative de connexion, peuvent être envoyées à répétition et reposent entièrement sur la capacité de l’utilisateur à prendre la bonne décision au bon moment.
Les cybercriminels n’ont donc pas besoin de contourner la technologie : il leur suffit de submerger l’utilisateur de demandes d’authentification. À force de recevoir des notifications, notamment lorsqu’ils sont occupés ou distraits, certains utilisateurs finissent par les approuver machinalement afin de mettre fin aux interruptions. Ce phénomène, connu sous le nom de « fatigue des alertes », est précisément ce que les attaquants cherchent à exploiter.
En réalité, le MFA traditionnel ne présente pas de faille technique majeure. Le problème vient plutôt du fait qu’il repose fortement sur le comportement humain. Or, sous la pression, la distraction ou la répétition, même les utilisateurs les plus vigilants peuvent commettre une erreur. C’est cette faiblesse humaine qui explique pourquoi les attaques MFA fatigue sont aujourd’hui si efficaces.
Pourquoi les attaques de MFA Fatigue sont-elles en augmentation ?
Plusieurs facteurs expliquent la popularité croissante des attaques de MFA Fatigue auprès des cybercriminels.
- Une plus grande disponibilité des identifiants compromis
Les fuites de données, les campagnes de phishing et la réutilisation des mots de passe continuent de fournir aux attaquants un grand nombre d’identifiants valides. Une fois le nom d’utilisateur et le mot de passe obtenus, l’authentification multifacteur devient souvent le dernier obstacle à franchir.
- L’adoption massive du MFA basé sur les notifications push
Les notifications push sont devenues l’une des méthodes d’authentification multifacteur les plus utilisées grâce à leur simplicité et à leur facilité d’utilisation. Cependant, cette même simplicité offre aux attaquants une opportunité d’abuser du processus de validation en multipliant les demandes d’authentification.
- L’essor du travail à distance
Les collaborateurs accèdent désormais aux applications professionnelles depuis différents appareils et emplacements. Les demandes MFA font donc partie du quotidien, ce qui peut amener certains utilisateurs à prêter moins d’attention aux notifications inhabituelles ou suspectes.
- Un faible effort pour un gain potentiellement important
Contrairement à de nombreuses cyberattaques, une attaque de MFA Fatigue nécessite peu de compétences techniques. Avec des identifiants valides et un peu de persévérance, un attaquant peut potentiellement accéder à des systèmes sensibles sans avoir à exploiter la moindre vulnérabilité logicielle.
Pourquoi les attaques de fatigue MFA sont-elles en augmentation ?
Les attaques de type « MFA fatigue » sont de plus en plus fréquentes, notamment après des incidents très médiatisés comme le piratage d’un prestataire d’Uber en 2022, attribué au groupe Lapsus. Selon Microsoft, des centaines de milliers d’attaques liées à la MFA sont observées chaque année, et certains utilisateurs valident des demandes d’authentification sans vérification.
Les principales raisons de cette hausse sont :
- La facilité d’accès à des identifiants volés.
- L’utilisation croissante de la MFA basée sur les notifications push.
- Le développement du travail à distance et de l’usage mobile.
- Le faible effort requis pour les attaquants face à des gains potentiels élevés.
Comment prévenir les attaques de
fatigue MFA?
Les organisations peuvent réduire fortement le risque d’attaques de type MFA fatigue en combinant des mécanismes d’authentification plus robustes et la sensibilisation des utilisateurs.
Activer la correspondance de code (number matching)
L’une des mesures les plus efficaces est la correspondance de code. Au lieu de simplement cliquer sur « Approuver », l’utilisateur doit saisir ou valider un code affiché à l’écran de connexion. Cela réduit considérablement les validations accidentelles.
Limiter les demandes MFA excessives
Les attaquants exploitent la répétition de notifications pour fatiguer les utilisateurs. En limitant le nombre de demandes MFA sur une courte période, il est possible de bloquer les tentatives de « push bombing ».
Adopter des méthodes d’authentification plus fortes
Des solutions modernes comme les passkeys ou les clés de sécurité FIDO2 suppriment les notifications push. L’authentification étant liée à un appareil de confiance, les attaquants ne peuvent pas déclencher de demandes à distance.
Utiliser l’authentification basée sur le risque
Toutes les connexions ne présentent pas le même niveau de risque. En analysant le dispositif, la localisation et le comportement de l’utilisateur, il est possible d’ajouter des vérifications uniquement lorsque cela est nécessaire.
Former les utilisateurs à reconnaître les demandes suspectes
Les employés doivent être sensibilisés au fait de ne jamais approuver une demande de connexion qu’ils n’ont pas eux-mêmes initiée. Une bonne compréhension de ces attaques peut empêcher de nombreuses compromissions.
