L’authentification à deux facteurs via SMS (2FA-SMS) est une méthode visant à renforcer la sécurité des authentifications. En plus du mot de passe statique, un code dynamique envoyé par SMS est requis. L’utilisateur doit saisir ce code lors de la connexion pour prouver qu’il connaît le mot de passe (1er facteur : connaissance) et qu’il a accès au numéro de téléphone (2e facteur : possession). Ainsi, un mot de passe volé seul ne suffit pas à prendre le contrôle du compte de l’utilisateur.
Vecteurs d’attaque bien connus
Cette méthode est sous le feu des attaques depuis un certain temps. Grâce à des techniques telles que le changement de carte SIM ou l’exploitation des vulnérabilités SS7 dans les réseaux mobiles, les attaquants peuvent intercepter les SMS. Alternativement, les utilisateurs peuvent être trompés par des attaques de phishing pour révéler leurs mots de passe à usage unique. Le CCC déconseille l’utilisation du SMS comme deuxième facteur depuis 2013, mais le 2FA-SMS reste largement répandu.
Fuites de données en ligne
Le Chaos Computer Club (CCC) a démontré une attaque précédemment négligée contre le 2FA-SMS : les fournisseurs de services sont couramment utilisés pour envoyer ces messages. Ces fournisseurs envoient de gros volumes de SMS pour diverses entreprises et services et ont accès au contenu des SMS. La sécurité du processus d'authentification dépend donc également de la sécurité de ces fournisseurs.
IdentifyMobile, un fournisseur de 2FA-SMS, a partagé les mots de passe à usage unique envoyés en temps réel sur internet. La CCC s'est trouvée au bon endroit au bon moment et a accédé aux données. Il a suffi de deviner le sous-domaine "idmdatastore". Outre le contenu des SMS, les numéros de téléphone des destinataires, les noms des expéditeurs et parfois d'autres informations sur les comptes étaient visibles.
Plus de 200 entreprises qui ont confié à ce fournisseur, directement ou indirectement par l'intermédiaire d'autres fournisseurs de services, la sécurité de leur authentification ont été touchées. Il s'agit d'entreprises telles que Google, Amazon, Facebook, Microsoft, ainsi que Telegram, Airbnb, FedEx et DHL. Au total, plus de 198 millions de SMS ont été divulgués.
En regardant simplement le flux en direct, il aurait été possible :
- de prendre le contrôle de numéros WhatsApp
- d'effectuer des transactions financières ou de se connecter à divers services sans avoir accès au téléphone, à condition de connaître le mot de passe.
(Pas encore) une catastrophe
Pour vraiment utiliser les codes SMS à mauvais escient, les attaquants auraient toujours besoin du mot de passe. Cependant, des liens « connexion en un clic » ont également été inclus dans les données. Pour certaines grandes entreprises concernées, seuls des services individuels étaient protégés par IdentifyMobile. Néanmoins, la négligence d'IdentifyMobile a exposé les entreprises et leurs clients à un risque important. C'est ce qui ressort des nombreuses demandes similaires émanant de services de protection des données du monde entier qui nous parviennent à présent par tous les canaux.
« Nous sommes heureux de confirmer que nous n'avons pas conservé les données. Cependant, nous ne pouvons pas exclure que d'autres personnes aient pu y avoir accès », a déclaré le CCC.
Aucune solution de sécurité n'est parfaite
Chaque solution de sécurité est un équilibre délicat entre la protection d'une certaine valeur et la fourniture d'un accès utilisable aux bonnes personnes. Nous évaluons tous en permanence les compromis et calculons les risques afin de trouver le bon équilibre entre sécurité et convivialité. Lorsque l'enjeu est plus important, les gens sont prêts à ajouter des frictions et des protections supplémentaires. Dans le monde physique, cela peut signifier qu'un appartement personnel est équipé d'une simple serrure à pêne dormant tandis qu'une bijouterie investit dans un système d'alarme.
Pour les entreprises en ligne, l'authentification par SMS est depuis longtemps un choix populaire pour sécuriser les comptes des consommateurs. C'est un canal facile et familier à déployer et l'utilisation de l'authentification à deux facteurs (2FA) par SMS a même augmenté au cours de ces dernières années. Bien que le canal SMS pose des problèmes de sécurité légitimes, les entreprises doivent tenir compte de leur modèle de menace et proposer un éventail d'options d'authentification à deux facteurs. Proposer des canaux plus sécurisés comme les applications d'authentification et l'authentification push est particulièrement important lorsque vous protégez des cibles de grande valeur comme un compte bancaire ou une messagerie électronique.
Voici quelques raisons qui peuvent expliquer la popularité des SMS comme vecteur de 2FA :
- Plus pratiques que les mots de passe : depuis l'apparition de l'internet, les mots de passe constituent la norme d'authentification de facto. Mais l'être humain est oublieux, et nous utilisons donc des mots de passe courts et mémorisables qui peuvent être devinés ou forcés.
Le site web haveibeenpwned.com recueille les informations d'identification trouvées lors de violations de données et prouve à quel point les mots de passe simples et faciles à deviner sont courants. Par exemple, le mot de passe 123456 a été vu plus de 24 millions de fois dans des violations de données. Pour ne rien arranger, une étude Google de 2019 montre que 64 % des personnes admettent réutiliser leurs mots de passe sur plusieurs sites. C'est un problème car même si une personne a un mot de passe complexe, si elle le réutilise sur plusieurs sites, une violation de données sur MySpace ou Adobe pourrait entraîner une violation du compte de l'utilisateur sur le site de votre entreprise par un processus connu sous le nom de "credential stuffing" (bourrage de données). - La plupart des gens peuvent recevoir des SMS : pour pallier l'insécurité des mots de passe, de nombreuses entreprises ont commencé à introduire le 2FA, qui utilise quelque chose que vous connaissez (le mot de passe) et quelque chose que vous avez (le téléphone). La réception d'un code de passe à usage unique par SMS peut protéger un compte si le premier facteur (mot de passe) est compromis. Et puisque nous avons établi que les mots de passe peuvent être compromis, c'est une excellente nouvelle.
- Le SMS 2FA fonctionne : L'état de la sécurité en ligne s'améliore constamment et l'industrie s'adapte toujours aux technologies émergentes. Cependant, même des entreprises comme GitHub, qui mettent en œuvre une grande variété d'options 2FA, autorisent toujours l'utilisation du SMS 2FA en tant qu'option. Il est important de noter que GitHub ne force pas les utilisateurs à utiliser le SMS, mais le laisse en option pour les personnes qui préfèrent la commodité aux protections supplémentaires d'un système comme TOTP ou WebAuthn.
- Le NIST dit que le SMS 2FA est correct : Le National Institute of Standards and Technology (NIST) a débattu en 2016 de la suppression du SMS en tant que canal 2FA, mais après avoir sollicité les commentaires du public, il a finalement maintenu le SMS en tant que recommandation pour un deuxième facteur. Le NIST a reconnu que « l'utilisation du SMS comme deuxième facteur est moins efficace que d'autres approches, mais plus efficace qu'un facteur unique. Cet exercice d'équilibre est difficile et intrinsèquement imparfait ». Le NIST déconseille l'utilisation de numéros VoIP, qui ne permettent pas de prouver la possession d'un appareil.
Quand le SMS 2FA ne suffit pas
Certains experts recommandent des alternatives relativement plus sécurisées :
- Applications d’authentification : Des applications telles que Google Authenticator, Authy ou Microsoft Authenticator génèrent des codes 2FA directement sur votre appareil, sans passer par le réseau mobile. Elles sont plus sécurisées que les SMS.
- Clés de sécurité matérielles : Les clés USB de sécurité, comme la YubiKey, offrent une protection robuste contre les attaques. Elles sont indépendantes du réseau mobile et ne peuvent pas être interceptées.
Si vous vous positionnez en tant qu'entreprise, il faut analyser la situation sous le prisme de ce que votre entité protège et aussi la façon dont vos utilisateurs peuvent être ciblés. Ajoutez une sécurité supplémentaire pour les comptes de grande valeur - comme les comptes financiers et les courriels - et les cibles de grande valeur - comme les célébrités, les élus ou les activistes - avec des applications d'authentification (TOTP) comme Authy :
- Des applications d'authentification (TOTP) comme Authy.
- L'authentification par poussée, en particulier pour les entreprises ayant un grand nombre d'utilisateurs d'applications mobiles.
- Des services comme Sift pour aider à détecter les fraudes en arrière-plan.
- WebAuthn, qui est encore nouveau mais constitue un remplacement prometteur du mot de passe.
- Le courrier électronique, qui présente différents compromis en matière de sécurité, mais qui peut être envisagé en complément d'autres canaux et signaux.
Un élément important de tout système d'authentification est la récupération du compte. Par conséquent, si vous proposez le 2FA par SMS, réfléchissez à la manière dont vous souhaitez l'utiliser en cas de perte du mot de passe. Certains experts recommandent d'utiliser les SMS en combinaison avec des codes de sauvegarde ou d'autres canaux de possession afin d'ajouter encore plus de protection pour ces comptes/utilisateurs. Pour des garanties supplémentaires, envisagez d'ajouter des périodes d'attente forcées et des notifications par courriel indiquant qu'une récupération est en cours.
Il n'existe pas de solution unique, mais il est important de proposer à vos utilisateurs soucieux de la sécurité des canaux sécurisés, tout en offrant des options flexibles aux autres.
Le CCC déclare : « Les mots de passe à usage unique générés dans une application ou à l'aide de jetons matériels sont plus sûrs et indépendants du réseau mobile. Si cette option est disponible, nous recommandons de l'utiliser. Et tout deuxième facteur reste meilleur qu'un seul, le mot de passe ».
Sources : CCC, NIST (1, 2), GitHub, Google
Et vous ?
Pensez-vous que le 2FA-SMS est encore une méthode sécurisée pour l’authentification à deux facteurs ? Pourquoi ou pourquoi pas ?
Avez-vous déjà été victime d’une attaque de phishing visant à intercepter vos mots de passe à usage unique envoyés par SMS ? Comment avez-vous réagi ?
Connaissez-vous des alternatives plus sûres au 2FA-SMS ? Si oui, lesquelles recommanderiez-vous ?
Croyez-vous que les entreprises devraient abandonner complètement le 2FA-SMS au profit d’autres méthodes d’authentification ? Pourquoi ou pourquoi pas ?