Microsoft exhorte les utilisateurs à abandonner les solutions d'authentification multifacteur (MFA) basées sur les opérateurs téléphoniques, telles que les codes à usage unique envoyés par SMS et les appels vocaux, et à les remplacer à la place par de nouvelles technologies MFA, telles que les authentificateurs basés sur les applications et les clés de sécurité.
L'avertissement vient d'Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft. Au cours de l'année écoulée, Weinert a plaidé pour l'adoption et l'utilisation de l'authentification multifacteur si le fournisseur de service la prend en charge.
D’ailleurs, dans un billet publié en août 2019, il notait que la complexité du mot de passe n’était pas plus efficace que l’utilisation de l’authentification multifacteur :
« Chaque semaine, j'ai au moins une conversation avec un décideur en matière de sécurité durant laquelle j'explique pourquoi une grande partie de l'hyperbole à propos des mots de passe - "n'utilisez jamais un mot de passe qui a fuité", "utilisez des mots de passe très longs", "les phrases secrètes vont nous sauver", etc. - va à l'encontre de nos recherches et de la réalité que voit notre équipe alors que nous nous défendons chaque jour contre des centaines de millions d'attaques au mot de passe. Se concentrer sur les règles de mot de passe plutôt que sur ce qui peut vraiment aider, comme l'authentification multifactorielle (MFA) ou la détection efficace des menaces, n'est qu'une distraction.
« Parce que voici le truc: quand il s’agit de composition et de longueur, votre mot de passe n’a pas d’importance ».
Dans le même billet, il a affirmé que l'activation d'une solution d'authentification multifacteur bloque 99,9 % des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1 % représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.
« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.
« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».
Authentification multifacteur oui, mais si possible sans passer par l'envoi d'un SMS ou un message vocal
Dans un billet publié mardi, il a indiqué vouloir faire ce qu'il peut pour convaincre les utilisateurs qu'il est temps de commencer à s'éloigner des mécanismes d’authentification multifacteur (MFA) SMS et vocaux :
« Ces mécanismes sont basés sur des RTCP (Réseau de Téléphone Commuté Public), et je pense qu’ils sont les moins sûrs des méthodes MFA disponibles à ce jour. Cet écart ne fera que s’élargir à mesure que l’adoption de MFA accroîtra l’intérêt des attaquants à casser ces méthodes et que les authentificateurs spécialement conçus étendront leurs avantages en matière de sécurité et d’utilisation. Planifiez dès maintenant votre passage à l'authentification forte sans mot de passe - l'application d'authentification offre une option immédiate et évolutive ».
Ses raisons ?
Alex Weinert a cité les nombreux inconvénients des codes envoyés par SMS ou par message vocal. « Il convient de noter que tous les mécanismes permettant d’exploiter un identifiant peuvent être utilisés sur RTCP - OTP (mot de passe à usage unique). Phishing ? Déjà observé. Prise de contrôle de compte ? Déjà observée. Vol d'appareil ? Déjà observé. Votre compte RTCP présente toutes les vulnérabilités de tous les autres authentificateurs et une foule d'autres problèmes spécifiques au RTCP ».
Non adaptable
« Étant donné que de nombreux appareils dépendent de la réception de messages RTCP, le format des messages est limité - nous ne pouvons pas rendre les messages plus riches, ni plus longs, ni faire grand-chose au-delà de l'envoi de l'OTP dans un court message texte ou un appel téléphonique. L'un des avantages significatifs des services est que nous pouvons nous adapter aux attentes de l'expérience utilisateur, aux avancées techniques et au comportement des attaquants en temps réel. Malheureusement, les formats SMS et vocaux ne sont pas adaptables, de sorte que les expériences et les opportunités d'innovations en termes de convivialité et de sécurité sont très limitées ».
Transmis en clair
« Lorsque les protocoles SMS et vocaux ont été développés, ils ont été conçus sans chiffrement. D'un point de vue pratique, nous ne pouvons pas superposer le chiffrement à ces protocoles, car les utilisateurs seraient incapables de les lire (il existe également d'autres raisons, comme le gonflement des messages, qui les ont empêchés de prendre le dessus sur les protocoles existants). Cela signifie que les signaux peuvent être interceptés par toute personne pouvant accéder au réseau de commutation ou à portée radio d'un appareil. Comme je l'ai dit dans le blog précédent All Your Creds, "un attaquant peut déployer un signal radio défini par logiciel pour intercepter des messages, ou une FEMTO à proximité, ou utiliser un service d'interception SS7 pour écouter le trafic téléphonique". Il s'agit d'une vulnérabilité substantielle et unique dans les systèmes RTCP qui est disponible pour des attaquants déterminés ».
Ingénierie sociale facile
« Il convient de noter que la plupart des systèmes PSTN sont soutenus par des comptes en ligne et une riche infrastructure de support client. Malheureusement, les agents de support client sont vulnérables au charme, à la coercition, à la corruption ou à l'extorsion. Si ces efforts d'ingénierie sociale réussissent, le support client peut fournir un accès au SMS ou au canal vocal. Alors que les attaques d'ingénierie sociale ont également un impact sur les systèmes de messagerie, les principaux systèmes de messagerie (par exemple Outlook, Gmail) ont un "muscle" plus développé pour empêcher la compromission de compte via leurs écosystèmes de support. Cela mène à tout, de l'interception de messages aux attaques de transfert d'appel, en passant par le SIM jacking ».
Sous réserve de modifications de la réglementation
« En raison de l'augmentation du spam dans les formats SMS, les régulateurs ont exigé des réglementations sur les codes d'identification, les taux de transmission, le contenu des messages, l'autorisation d'envoyer et la réponse aux messages tels que «STOP». Malheureusement, ces réglementations changent rapidement et sont incohérentes d'une région à l'autre et peuvent (et ont) entraîner des interruptions de livraison majeures. Ce qui signifie plus de pannes et donc plus de frustration des utilisateurs ».
Contexte limité
« En termes pratiques, le texte ou les supports vocaux limitent la quantité d'informations pouvant être communiquées à un utilisateur - le SMS comporte 160 caractères, 70 s'il n'utilise pas le GSM, et une fois que nous entrons dans des langues nécessitant un encodage, la limite pratique sans fractionnement de message n'est que d'environ la moitié. Le phishing est un vecteur de menace sérieux, et nous voulons donner à l'utilisateur autant de contexte que possible (ou, en utilisant Windows Hello ou FIDO, rendre le phishing impossible) - les formats SMS et vocaux restreignent notre capacité à fournir le contexte dans lequel l'authentification en cours est demandée ».
Le directeur de Microsoft évoque également les problèmes de fiabilité des réseaux, qui font que les messages ne sont parfois pas transmis. Et cela peut empêcher un utilisateur d’accéder à ses comptes. Pour toutes ces raisons, Alex Weinert estime que les codes par SMS ou par message vocal sont la méthode d’authentification qu’il faut éviter quand cela est possible.
Que préconise-t-il ?
Alex Weinert est un fervent défenseur de l'authentification multifacteur. Cependant, il conseille d’utiliser, à la place de ces messages SMS et vocaux, des applications d’authentification :
« Pour la plupart des utilisateurs sur des appareils mobiles, nous pensons que la bonne réponse est l'authentification basée sur les applications. Pour nous, cela signifie Microsoft Authenticator. L'Authenticator utilise une communication chiffrée, permettant une communication bidirectionnelle sur l'état de l'authentification, et nous travaillons actuellement à ajouter encore plus de contexte et de contrôle à l'application pour aider les utilisateurs à se protéger. Au cours de la dernière année seulement, nous avons ajouté le verrouillage de l'application, le masquage des notifications de l'écran de verrouillage, l'historique de connexion dans l'application, et plus encore - et cette liste aura augmenté au moment où vous planifiez votre déploiement et continuera de croître tandis que les authentifications par SMS ou message vocaux ne vont pas évoluer ».
Source : Microsoft
Et vous ?
Que pensez-vous de l'authentification multifacteur ?
Vous en servez-vous systématiquement, pratiquement jamais, ou ça dépend de l'application / service / site ?
Quels facteurs utilisez-vous pour vous authentifier (clé numérique, empreinte, mot de passe envoyé par SMS, appel vocal, autre) ?
Que pensez-vous des raisons évoquées par Microsoft pour signaler la faiblesse de l'envoi du SMS ou du message vocal dans le processus d'authentification ?
Que pensez-vous de la suggestion de Microsoft qui conseille d'utiliser une application d'authentification ?
Avez-vous déjà utilisé Microsoft Authenticator ou une application similaire ?
Microsoft exhorte les utilisateurs à éviter l'envoi d'un sms ou d'un message vocal lors d'une authentification multifacteur
Et de préférer l'utilisation d'une application d'authentification
Microsoft exhorte les utilisateurs à éviter l'envoi d'un sms ou d'un message vocal lors d'une authentification multifacteur
Et de préférer l'utilisation d'une application d'authentification
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !