Passer au contenu principal
Des attaquants peuvent exploiter et détourner les alertes de (MFA) pour accéder à vos systèmes. Vous trouverez ci-dessous quelques vecteurs d’attaque MFA courants, ainsi que des indications pour les analyser.

Repérer les événements de journal pertinents

Les types d’événements de journal suivants sont pertinents lors de l’analyse d’une attaque MFA. Ils figurent dans les journaux du locataire Auth0.
Type d’événement de journalDescription
gd_auth_failedL’authentification multifacteur a échoué. Il peut s’agir d’une défaillance du système ou de la saisie d’un code incorrect par un utilisateur lorsqu’il utilise SMS ou appel vocal/le courriel/TOTP comme facteur MFA. Des échecs fréquents peuvent indiquer une attaque ou une mauvaise configuration de la MFA.
gd_auth_fail_email_verificationUne fréquence élevée d’événements de journal d’échec de vérification du courriel peut indiquer une activité malveillante ou une mauvaise configuration du locataire.
gd_auth_rejected, gd_send_pn and gd_send_pn_failureDes événements push fréquents et des événements push sans réponse peuvent indiquer des attaques de fatigue MFA (T1621).
gd_otp_rate_limit_exceedUn trop grand nombre d’échecs MFA sur une courte période peut indiquer des attaques automatisées.
gd_recovery_failedDes échecs répétés de récupération MFA peuvent indiquer des tentatives d’attaque visant à contourner ou à remplacer des facteurs d’authentification supplémentaires.
gd_send_sms, gd_send_sms_failure, gd_send_voice, and gd_send_voice_failureUne fréquence élevée de ces événements indique des attaques de pompage de SMS ou de fraude téléphonique. Cela peut aussi indiquer des tentatives de contourner l’utilisation des SMS ou des appels vocaux comme facteur.
gd_unenrollLa désinscription à grande échelle d’appareils MFA peut indiquer des campagnes réussies de prise de contrôle de comptes.

Stratégies d’atténuation

Voici quelques exemples de mesures à prendre en réponse à des attaques contre la MFA :
  • Adoptez des options de MFA plus robustes en remplaçant la MFA par SMS ou par appel vocal par OTP ou Webauthn afin d’atténuer les attaques de pompage de SMS ou de fraude tarifaire.
  • Renforcez la sécurité de votre fournisseur SMS ou vocal en mettant en place une protection contre la fraude, comme Preventing Fraud in Verify de Twilio, lorsque vous utilisez la MFA par SMS ou par appel vocal.
  • Évitez la fatigue liée à la MFA en imposant des limites de fréquence aux notifications push.