Protection 🛡️ Bloquer les attaques par harcèlement MFA (MFA fatigue)

[Sylvain*]

Bloquer les attaques par harcèlement MFA (MFA fatigue)

Introduction

Les attaques par harcèlement MFA exploitent la lassitude des utilisateurs face aux demandes répétées de validation d'accès. L'attaquant tente d'accéder à un compte protégé par MFA et bombarde l'utilisateur de requêtes jusqu’à ce qu’il accepte par erreur ou par épuisement. Cette méthode peut contourner l’authentification forte si aucune restriction n’est en place.

---

Prérequis

• Connaissance approfondie de Azure AD ou Microsoft Entra ID

• Maîtrise des politiques de sécurité MFA

• Accès administrateur au portail Microsoft 365 ou à l’environnement IAM

---

Niveau de difficulté

• Étape #1 : Analyse des alertes de connexions suspectes

• Étape #2 : Activation de l’approbation unique par session MFA

• Étape #3 : Mise en œuvre des délais et restrictions de tentatives MFA

• Étape #4 : Passage aux méthodes MFA résistantes au phishing

• Étape #5 : Sensibilisation et procédures d’escalade utilisateur

---

Les Avantages

• Étape #1 : Réduction des risques liés à la complaisance utilisateur

• Étape #2 : Amélioration de la résilience contre l’ingénierie sociale

• Étape #3 : Suivi précis des comportements MFA anormaux

• Étape #4 : Renforcement global de l’hygiène d’authentification

• Étape #5 : Meilleure réponse aux incidents MFA

---

Les Inconvénients

• Étape #1 : Complexité des politiques conditionnelles

• Étape #2 : Frustration potentielle pour l’utilisateur final

• Étape #3 : Nécessite des outils IAM avancés

• Étape #4 : Adoption lente des nouvelles méthodes MFA

• Étape #5 : Charge accrue sur les équipes support

---

Étape #1

Identifier les pics d’activité MFA via le centre de sécurité

Vérifier les logs Azure sign-in pour détecter les MFA répétés

Mettre en quarantaine les comptes ciblés

Déclencher une alerte ou une action automatisée

---

Étape #2

Aller sur

Azure Active Directory > Sécurité > MFA

Activer l’option

Notifications d’approbation uniques

Appliquer à tous les utilisateurs critiques

Tester les flux de connexion pour valider la mise en place

---

Étape #3

Créer une règle de protection conditionnelle par

tentative MFA

Limiter à 3 requêtes MFA par heure

Bloquer l’accès en cas de dépassement

Notifier le SOC et l’utilisateur

---

Étape #4

Basculer vers

FIDO2

ou

Microsoft Authenticator avec numéro de code

Interdire le simple push sans code

Déployer via

Intune

ou

GPO

Forcer la configuration lors de la prochaine connexion

---

Étape #5

Mettre en place une formation MFA trimestrielle

Créer une procédure claire de signalement de spam MFA

Ajouter un bouton de signalement dans l'application MFA

Escalader automatiquement vers les équipes sécurité

---

Astuce

Utilisez Microsoft Authenticator avec confirmation de code pour forcer l’attention de l’utilisateur, évitant qu’il accepte un push par réflexe.

---

Mise en garde

Une absence de restrictions MFA permet à un attaquant de multiplier les demandes jusqu’à obtenir un clic accidentel. Limitez les tentatives !

---

Conseil

Activez les alertes comportementales MFA inhabituelles dans le portail Microsoft Defender for Identity pour une surveillance proactive.

---

Solutions alternatives

• Limiter tentatives MFA Azure

• Protection MFA harcèlement Microsoft

• Microsoft Authenticator code approbation

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Les attaques par MFA fatigue tirent parti d'une faille humaine. En renforçant les mécanismes d'approbation, en limitant les tentatives répétées, et en formant les utilisateurs, on limite efficacement leur impact. Utilisez FIDO2 ou MFA avec code de confirmation pour une protection durable.