Microsoft a introduit une nouvelle fonctionnalité de protection dans l’application Authenticator pour bloquer les notifications qui semblent suspectes en fonction de vérifications spécifiques effectuées lors de la phase de connexion au compte.

Microsoft Authenticator est une application qui fournit une authentification multifacteur, le remplissage automatique du mot de passe et une connexion sans mot de passe aux comptes Microsoft.

Lorsqu’un utilisateur tente de se connecter à un compte protégé par l’authentification multifacteur (MFA), l’application Authenticator envoie une notification push à l’appareil de l’utilisateur pour accorder ou refuser l’accès.

Alternativement, l’application génère un code d’accès temporaire permettant aux utilisateurs de se connecter manuellement à leur compte.

Les pirates sont connus pour exploiter la fonctionnalité de notification push en effectuant un grand nombre de tentatives de connexion au compte cible, souvent à des moments inopportuns, dans l’espoir de frustrer ou de fatiguer les destinataires.

Si l’utilisateur épuisé approuve une demande, l’attaquant accède au compte et peut modifier les paramètres de protection de connexion pour verrouiller l’accès de l’utilisateur légitime.

Pour plus de sécurité, Microsoft a introduit la « correspondance de numéros » en mai, un mécanisme par lequel l’utilisateur doit saisir un numéro affiché sur l’écran de connexion dans son application Authenticator pour approuver la connexion.

Bien que cette mesure ait réduit l’efficacité des attaques de fatigue MFA, elle n’arrête pas la génération des notifications ennuyeuses elles-mêmes.

Pour lutter contre cette activité malveillante, Microsoft ajout de nouvelles fonctionnalités qui examine les détails des tentatives de connexion, par exemple si la demande provient d’un endroit inconnu ou montre des signes d’activité anormale, pour empêcher l’affichage de la notification.

Au lieu de cela, les utilisateurs reçoivent un message les invitant à ouvrir l’application Authenticator et à saisir un code donné.

Cependant, les notifications de connexion sont toujours générées et mises à disposition à partir de l’application Authenticator si l’utilisateur a besoin d’y accéder et de les consulter.

Depuis le déploiement de la nouvelle fonctionnalité achevé fin septembre, Microsoft a bloqué plus de six millions de notifications MFA soupçonnées d’avoir été initiées par des pirates.