L'authentification multifacteur (MFA) est considérée comme une barrière solide, mais les attaquants ont trouvé une faille : le bombardement de demandes. Cette méthode consiste à envoyer des dizaines de notifications push sur le mobile de l'utilisateur jusqu'à ce que, par frustration ou erreur, celui-ci en accepte une. Depuis foro3d.com, nous rappelons qu'approuver une demande inattendue, c'est ouvrir la porte à l'attaquant. La formation continue en cybersécurité est la seule défense réelle contre ce type de fatigue.
Comment fonctionne l'attaque par fatigue MFA 🔐
L'attaque, connue sous le nom de fatigue MFA ou bombing, exploite la psychologie humaine plus que la technologie. L'attaquant, après avoir obtenu des identifiants de connexion, envoie des demandes MFA répétées depuis la même session. L'utilisateur, submergé par des alertes constantes, peut en accepter une pour faire taire le bruit. Des systèmes comme Okta ou Microsoft ont documenté des cas où 15 minutes de bombardement ont suffi pour qu'un employé cède. La solution technique passe par des politiques de blocage après des tentatives échouées et des notifications avec contexte géographique.
Le clic qui te sauve ou te coule 🎯
Imagine ceci : tu passes 20 minutes à essayer de te connecter à ton compte et, soudain, une fenêtre apparaît demandant une confirmation. Tu penses : enfin ça marche. Et tu cliques. Félicitations, tu viens d'offrir ton accès à un inconnu qui fête ça depuis son sous-sol. Le bombardement MFA est la version numérique de cet ami insistant qui appelle 50 fois jusqu'à ce que tu répondes. La différence, c'est qu'ici, si tu cèdes, ton compte finit entre les mains de quelqu'un qui ne veut pas prendre un café avec toi.