Fatigue MFA (Push Bombing)
Qu'est-ce que Fatigue MFA (Push Bombing) ?
Fatigue MFA (Push Bombing)Attaque ou un attaquant disposant d'un mot de passe valide submerge la victime de notifications push MFA jusqu'a ce qu'elle approuve une par lassitude ou erreur.
La fatigue MFA, alias push bombing, exploite l'authentification multifactor par notification push. Apres avoir obtenu un mot de passe valide par phishing ou credential stuffing, l'attaquant relance des connexions et declenche un flot d'approbations push sur le telephone de la victime. Celle-ci finit par appuyer sur Approuver pour faire cesser le bruit ou croit la notification legitime. Cas emblematiques: la breche Uber 2022 et l'intrusion Cisco 2022, lies a Lapsus$ et EXOTIC LILY. Parades: number matching, contexte dans les notifications, rate limiting, blocage apres refus repetes, et migration vers FIDO2 ou passkeys resistants au phishing.
● Exemples
- 01
Uber 2022: un prestataire a approuve une notification push apres des dizaines de tentatives, donnant l'acces initial.
- 02
Cisco 2022: vishing + push bombing pour contourner la MFA d'un VPN corporate.
● Questions fréquentes
Qu'est-ce que Fatigue MFA (Push Bombing) ?
Attaque ou un attaquant disposant d'un mot de passe valide submerge la victime de notifications push MFA jusqu'a ce qu'elle approuve une par lassitude ou erreur. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Fatigue MFA (Push Bombing) ?
Attaque ou un attaquant disposant d'un mot de passe valide submerge la victime de notifications push MFA jusqu'a ce qu'elle approuve une par lassitude ou erreur.
Comment fonctionne Fatigue MFA (Push Bombing) ?
La fatigue MFA, alias push bombing, exploite l'authentification multifactor par notification push. Apres avoir obtenu un mot de passe valide par phishing ou credential stuffing, l'attaquant relance des connexions et declenche un flot d'approbations push sur le telephone de la victime. Celle-ci finit par appuyer sur Approuver pour faire cesser le bruit ou croit la notification legitime. Cas emblematiques: la breche Uber 2022 et l'intrusion Cisco 2022, lies a Lapsus$ et EXOTIC LILY. Parades: number matching, contexte dans les notifications, rate limiting, blocage apres refus repetes, et migration vers FIDO2 ou passkeys resistants au phishing.
Comment se défendre contre Fatigue MFA (Push Bombing) ?
Les défenses contre Fatigue MFA (Push Bombing) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 708
Authentification multifacteur (MFA)
Méthode d'authentification exigeant au moins deux facteurs indépendants — généralement de catégories différentes — avant d'accorder l'accès.
- identity-access№ 883
Authentification par push
Méthode de MFA dans laquelle le fournisseur d'identité envoie une demande de connexion à une application mobile de confiance, que l'utilisateur approuve ou refuse d'un appui.
- identity-access№ 414
FIDO2
Standard ouvert d'authentification de la FIDO Alliance combinant WebAuthn (API navigateur) et CTAP (protocole des authentificateurs) pour une connexion sans mot de passe et résistante à l'hameçonnage.
- identity-access№ 793
Passkey
Identifiant FIDO2/WebAuthn résistant à l'hameçonnage : paire de clés asymétriques liée au matériel ou synchronisable, qui remplace le mot de passe par un défi-réponse cryptographique.
- attacks№ 1065
Ingénierie sociale
Manipulation psychologique amenant des personnes à effectuer des actions ou à divulguer des informations confidentielles au profit d'un attaquant.
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.