IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft exhorte les utilisateurs à éviter l'envoi d'un sms ou d'un message vocal lors d'une authentification multifacteur
Et de préférer l'utilisation d'une application d'authentification

Le , par Stéphane le calme

253PARTAGES

12  0 
Microsoft exhorte les utilisateurs à abandonner les solutions d'authentification multifacteur (MFA) basées sur les opérateurs téléphoniques, telles que les codes à usage unique envoyés par SMS et les appels vocaux, et à les remplacer à la place par de nouvelles technologies MFA, telles que les authentificateurs basés sur les applications et les clés de sécurité.

L'avertissement vient d'Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft. Au cours de l'année écoulée, Weinert a plaidé pour l'adoption et l'utilisation de l'authentification multifacteur si le fournisseur de service la prend en charge.

D’ailleurs, dans un billet publié en août 2019, il notait que la complexité du mot de passe n’était pas plus efficace que l’utilisation de l’authentification multifacteur :

« Chaque semaine, j'ai au moins une conversation avec un décideur en matière de sécurité durant laquelle j'explique pourquoi une grande partie de l'hyperbole à propos des mots de passe - "n'utilisez jamais un mot de passe qui a fuité", "utilisez des mots de passe très longs", "les phrases secrètes vont nous sauver", etc. - va à l'encontre de nos recherches et de la réalité que voit notre équipe alors que nous nous défendons chaque jour contre des centaines de millions d'attaques au mot de passe. Se concentrer sur les règles de mot de passe plutôt que sur ce qui peut vraiment aider, comme l'authentification multifactorielle (MFA) ou la détection efficace des menaces, n'est qu'une distraction.

« Parce que voici le truc: quand il s’agit de composition et de longueur, votre mot de passe n’a pas d’importance ».

Dans le même billet, il a affirmé que l'activation d'une solution d'authentification multifacteur bloque 99,9 % des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1 % représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.

« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.

« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».


Authentification multifacteur oui, mais si possible sans passer par l'envoi d'un SMS ou un message vocal

Dans un billet publié mardi, il a indiqué vouloir faire ce qu'il peut pour convaincre les utilisateurs qu'il est temps de commencer à s'éloigner des mécanismes d’authentification multifacteur (MFA) SMS et vocaux :

« Ces mécanismes sont basés sur des RTCP (Réseau de Téléphone Commuté Public), et je pense qu’ils sont les moins sûrs des méthodes MFA disponibles à ce jour. Cet écart ne fera que s’élargir à mesure que l’adoption de MFA accroîtra l’intérêt des attaquants à casser ces méthodes et que les authentificateurs spécialement conçus étendront leurs avantages en matière de sécurité et d’utilisation. Planifiez dès maintenant votre passage à l'authentification forte sans mot de passe - l'application d'authentification offre une option immédiate et évolutive ».

Ses raisons ?

Alex Weinert a cité les nombreux inconvénients des codes envoyés par SMS ou par message vocal. « Il convient de noter que tous les mécanismes permettant d’exploiter un identifiant peuvent être utilisés sur RTCP - OTP (mot de passe à usage unique). Phishing ? Déjà observé. Prise de contrôle de compte ? Déjà observée. Vol d'appareil ? Déjà observé. Votre compte RTCP présente toutes les vulnérabilités de tous les autres authentificateurs et une foule d'autres problèmes spécifiques au RTCP ».

Non adaptable

« Étant donné que de nombreux appareils dépendent de la réception de messages RTCP, le format des messages est limité - nous ne pouvons pas rendre les messages plus riches, ni plus longs, ni faire grand-chose au-delà de l'envoi de l'OTP dans un court message texte ou un appel téléphonique. L'un des avantages significatifs des services est que nous pouvons nous adapter aux attentes de l'expérience utilisateur, aux avancées techniques et au comportement des attaquants en temps réel. Malheureusement, les formats SMS et vocaux ne sont pas adaptables, de sorte que les expériences et les opportunités d'innovations en termes de convivialité et de sécurité sont très limitées ».

Transmis en clair

« Lorsque les protocoles SMS et vocaux ont été développés, ils ont été conçus sans chiffrement. D'un point de vue pratique, nous ne pouvons pas superposer le chiffrement à ces protocoles, car les utilisateurs seraient incapables de les lire (il existe également d'autres raisons, comme le gonflement des messages, qui les ont empêchés de prendre le dessus sur les protocoles existants). Cela signifie que les signaux peuvent être interceptés par toute personne pouvant accéder au réseau de commutation ou à portée radio d'un appareil. Comme je l'ai dit dans le blog précédent All Your Creds, "un attaquant peut déployer un signal radio défini par logiciel pour intercepter des messages, ou une FEMTO à proximité, ou utiliser un service d'interception SS7 pour écouter le trafic téléphonique". Il s'agit d'une vulnérabilité substantielle et unique dans les systèmes RTCP qui est disponible pour des attaquants déterminés ».

Ingénierie sociale facile

« Il convient de noter que la plupart des systèmes PSTN sont soutenus par des comptes en ligne et une riche infrastructure de support client. Malheureusement, les agents de support client sont vulnérables au charme, à la coercition, à la corruption ou à l'extorsion. Si ces efforts d'ingénierie sociale réussissent, le support client peut fournir un accès au SMS ou au canal vocal. Alors que les attaques d'ingénierie sociale ont également un impact sur les systèmes de messagerie, les principaux systèmes de messagerie (par exemple Outlook, Gmail) ont un "muscle" plus développé pour empêcher la compromission de compte via leurs écosystèmes de support. Cela mène à tout, de l'interception de messages aux attaques de transfert d'appel, en passant par le SIM jacking ».

Sous réserve de modifications de la réglementation

« En raison de l'augmentation du spam dans les formats SMS, les régulateurs ont exigé des réglementations sur les codes d'identification, les taux de transmission, le contenu des messages, l'autorisation d'envoyer et la réponse aux messages tels que «STOP». Malheureusement, ces réglementations changent rapidement et sont incohérentes d'une région à l'autre et peuvent (et ont) entraîner des interruptions de livraison majeures. Ce qui signifie plus de pannes et donc plus de frustration des utilisateurs ».

Contexte limité

« En termes pratiques, le texte ou les supports vocaux limitent la quantité d'informations pouvant être communiquées à un utilisateur - le SMS comporte 160 caractères, 70 s'il n'utilise pas le GSM, et une fois que nous entrons dans des langues nécessitant un encodage, la limite pratique sans fractionnement de message n'est que d'environ la moitié. Le phishing est un vecteur de menace sérieux, et nous voulons donner à l'utilisateur autant de contexte que possible (ou, en utilisant Windows Hello ou FIDO, rendre le phishing impossible) - les formats SMS et vocaux restreignent notre capacité à fournir le contexte dans lequel l'authentification en cours est demandée ».

Le directeur de Microsoft évoque également les problèmes de fiabilité des réseaux, qui font que les messages ne sont parfois pas transmis. Et cela peut empêcher un utilisateur d’accéder à ses comptes. Pour toutes ces raisons, Alex Weinert estime que les codes par SMS ou par message vocal sont la méthode d’authentification qu’il faut éviter quand cela est possible.

Que préconise-t-il ?

Alex Weinert est un fervent défenseur de l'authentification multifacteur. Cependant, il conseille d’utiliser, à la place de ces messages SMS et vocaux, des applications d’authentification :

« Pour la plupart des utilisateurs sur des appareils mobiles, nous pensons que la bonne réponse est l'authentification basée sur les applications. Pour nous, cela signifie Microsoft Authenticator. L'Authenticator utilise une communication chiffrée, permettant une communication bidirectionnelle sur l'état de l'authentification, et nous travaillons actuellement à ajouter encore plus de contexte et de contrôle à l'application pour aider les utilisateurs à se protéger. Au cours de la dernière année seulement, nous avons ajouté le verrouillage de l'application, le masquage des notifications de l'écran de verrouillage, l'historique de connexion dans l'application, et plus encore - et cette liste aura augmenté au moment où vous planifiez votre déploiement et continuera de croître tandis que les authentifications par SMS ou message vocaux ne vont pas évoluer ».

Source : Microsoft

Et vous ?

Que pensez-vous de l'authentification multifacteur ?
Vous en servez-vous systématiquement, pratiquement jamais, ou ça dépend de l'application / service / site ?
Quels facteurs utilisez-vous pour vous authentifier (clé numérique, empreinte, mot de passe envoyé par SMS, appel vocal, autre) ?
Que pensez-vous des raisons évoquées par Microsoft pour signaler la faiblesse de l'envoi du SMS ou du message vocal dans le processus d'authentification ?
Que pensez-vous de la suggestion de Microsoft qui conseille d'utiliser une application d'authentification ?
Avez-vous déjà utilisé Microsoft Authenticator ou une application similaire ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de jbrosset
Membre régulier https://www.developpez.com
Le 19/11/2020 à 9:09
Je suis en train de tester Office 365 et Microsoft Authentificator dans mon entreprise... et c'est extrêmement douloureux !
Mon Support informatique semble heureusement en être conscient.
Bref, il me semble que Microsoft fait, dans cet article, de la pub pour sa solution, mais que l'ergonomie reste problématique pour l'utilisateur final qui peut (comme moi) se retrouver bloqué.
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 12/11/2020 à 15:37
Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous de l'authentification multifacteur ?
À partir du moment où ça utilise un facteur supplémentaire plus sûr, ça protège au moins contre les fuites de DB avec des mots passes mal hachés ou en clair.

Citation Envoyé par Stéphane le calme Voir le message

Vous en servez-vous systématiquement, pratiquement jamais, ou ça dépend de l'application / service / site ?
Je l'active dès qu'un système me propose d'utiliser une clé physique FIDO2 (WebAuthn). Je n'aime pas des masses les systèmes qui ne laissent que la possibilité d'une application mobile (je ne passe pas ma vie avec mon mobile dans mes mains et j'essaye d'y mettre le mins de choses possibles aussi).

Citation Envoyé par Stéphane le calme Voir le message

Quels facteurs utilisez-vous pour vous authentifier (clé numérique, empreinte, mot de passe envoyé par SMS, appel vocal, autre) ?
Des clés physiques FIDO2 type Yubico / solo, et en fallback l'application FreeOTP (moins bon que les clés vu que c'est un TOTP).

Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous des raisons évoqués par Microsoft pour signaler la faiblesse de l'envoi du SMS ou du message vocal dans le processus d'authentification ?
Les faiblesses du SS7 sont connues et exposées depuis des années. Il est plus que temps d'arrêter de baser de la "sécurité" là dessus, comme les codes envoyés par SMS par les banques françaises ou ceux envoyés par les services de paiement...

Citation Envoyé par Stéphane le calme Voir le message

Que pensez-vous de la suggestion de Microsoft qui conseille d'utiliser une application d'authentification ?
Le principe est noble. Après, chacun prêche pour sa paroisse et je préfère utiliser mes clés physiques plutôt qu'une application Google ou Microsoft.

Citation Envoyé par Stéphane le calme Voir le message

Avez-vous déjà utilisé Microsoft Authenticator ou une application similaire ?
FreeOTP, uniquement en fallback, et parce qu'on ne peut pas activer de clés physiques sans ça sur beaucoup de services :/
3  1 
Avatar de
https://www.developpez.com
Le 13/11/2020 à 6:52
Perso, j'avais installé Microsoft Authenticator, ça a fonctionné une fois, je suis revenu au sms parce qu'à moment donné, ça saoule...
3  1 
Avatar de
https://www.developpez.com
Le 15/11/2020 à 14:00
Bonjour,

Microsoft exhorte les utilisateurs à éviter l'envoi d'un sms ou d'un message vocal lors d'une authentification multifacteur et de préférer l'utilisation d'une application d'authentification

Que pensez-vous de l'authentification multifacteur ?
Microsoft oublie une chose ... Un numéro de téléphone "fixe/fax" a une porté "géographique" et "physique" de l'installation. Le guss qui à un +331 ou +322 on sait qu'il habite Paris ou Bruxelles . Donc physiquement si on l'appelle ou envoye un message vocal la probabilité que l'individu légitime réponde frise les 100% (99,9% on va dire).

Le piratage de ligne physique existe. Certes on passe par de la VOIP / fibre de plus en plus. Le piratage de ligne physique demande quand même un sacré logistique et un accès physique aux bais de brassage ... donc des complices.

Il est quand même plus sécurisant de communiquer sur un ligne fixe en pouvant s'assurer que physiquement l'utilisateur d'un compte associé réceptionne le message. Contrairement au SMS , un vol de smartphone et c'est chocolat ...

Vous en servez-vous systématiquement, pratiquement jamais, ou ça dépend de l'application / service / site ?
Utilisateur de services numériques en France c'est surtout la réception de SMS avec un code, plus rarement un appel sur ligne fixe (néanmoins je l'utilise bel est bien). J'ai aussi des services numériques en Belgique (comme la banque et des services publiques > utilisation d'un token ).

J’évite les MFA propriétaires si compte Google ou Microsoft , j'évite d'avoir tous les oeufs chez eux ... Le jour ou la chaine d'identification tombe ... c'est le bronx pour ce connecter.

Quels facteurs utilisez-vous pour vous authentifier (clé numérique, empreinte, mot de passe envoyé par SMS, appel vocal, autre) ?
J'utilise le token, sms temporaire, appel temporaire , courrier papier (eh wé pour valider un compte digiposte ou un compte ameli ), même la bonne vieille présentation physique pour retirer un document administratif avec un code dessus à usage unique , sinon plus récemment la carte puce dans une entreprise du secteur publique.

Les bonnes vieilles méthodes sont parfois les plus sur (bien que lourde logisitiquement ).

Que pensez-vous des raisons évoquées par Microsoft pour signaler la faiblesse de l'envoi du SMS ou du message vocal dans le processus d'authentification ?
Le raisonnement est valable en cas de vol du smartphone et que celui ci n'a aucune secu ... Bon je connais pas beaucoup de voleur de smartphone qui vont aller fouiner dans le téléphone et se dire "tiens" monnayer des données volées ... au risque de se faire pincer et retrouver ... Lors d'un vol de téléphone dans 99,9% des cas c'est pour revendre le bouzin et se faire de la thune .

Le risque existe et on ne doit pas le minorer ... Cela est quand même loin de toucher 100% des pékins moyens ... Éventuellement les professionnels travaillant dans des domaines sensibles ... Genre la cadre qui travaille chez Crédit Agricole ou Master Card a plus à craindre pour le vol de son tél, si celui ci est volé que le quidam moyen qui travaille à la boulangerie du coin.

Que pensez-vous de la suggestion de Microsoft qui conseille d'utiliser une application d'authentification ?
C'est surtout commercial et a destination des professionnels ... Car il y a des situations ou la MFA ne marchera pas ... Vous êtes en zone blanche, en vacance, sans connexion internet / mobile, donc pas d'accès au résultat de la MFA. Windows 10 vous demande votre code MFA. Comment faites ?

Impossible de se connecter , car la réception du code de sécu via l'appli est impossible ... A défaut d'un mail en zone blanche ou peu quand même recevoir un "texte"/appel en mode dégradé ... le flux 3G texte passe, pas le flux internet 4G.

Avez-vous déjà utilisé Microsoft Authenticator ou une application similaire ?
Oui j'ai déjà testé une fois.
1  1 
Avatar de ManPaq
Membre averti https://www.developpez.com
Le 30/11/2020 à 9:24
Rien ne vaut le téléphone rouge et deux policiers qui transportent un mot de passe à usage unique qui peut couvrir tous les termes d'une conversation, dans une valise, d'un interlocuteur (ou son ambassade) à l'autre (chiffre de Vernam).
Assurément la carte à puce est la solution à privilégier, vient ensuite la double authentification et l'application de microsoft abuse légèrement il est vrai: dans mon cas elle trouve que mon smartphone n'est pas assez sécurisé et me demande le mdp de l'appareil avant de me délivrer le mdp de confirmation (de la vérification et de l'authentification d'id): 3 mdp en somme (1 pour id+authentification, 1 pour le smartphone pour Authentificator et 1 pour la confirmation délivrée par l'appli) un peu lourd! Vient ensuite le mdp fort qui n'est pas une solution mais qui offre une résistance temporaire à la corruption (9 mois pour un mdp fort) mais dans ce cas une fuite n'est pas connue immédiatement (entre deux connexions à moins d'une organisation sophistiquée qui outrepasse ce type de protection - pour l'instant!) et laisse du temps à l'agresseur (4 mois 1/2 en moyenne).
0  0