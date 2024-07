Vecteurs d’attaque bien connus

Fuites de données en ligne

de prendre le contrôle de numéros WhatsApp

d'effectuer des transactions financières ou de se connecter à divers services sans avoir accès au téléphone, à condition de connaître le mot de passe.

(Pas encore) une catastrophe

Aucune solution de sécurité n'est parfaite

Plus pratiques que les mots de passe : depuis l'apparition de l'internet, les mots de passe constituent la norme d'authentification de facto. Mais l'être humain est oublieux, et nous utilisons donc des mots de passe courts et mémorisables qui peuvent être devinés ou forcés.



La plupart des gens peuvent recevoir des SMS : pour pallier l'insécurité des mots de passe, de nombreuses entreprises ont commencé à introduire le 2FA, qui utilise quelque chose que vous connaissez (le mot de passe) et quelque chose que vous avez (le téléphone). La réception d'un code de passe à usage unique par SMS peut protéger un compte si le premier facteur (mot de passe) est compromis. Et puisque nous avons établi que les mots de passe peuvent être compromis, c'est une excellente nouvelle.

Quand le SMS 2FA ne suffit pas

Applications d’authentification : Des applications telles que Google Authenticator, Authy ou Microsoft Authenticator génèrent des codes 2FA directement sur votre appareil, sans passer par le réseau mobile. Elles sont plus sécurisées que les SMS.

Clés de sécurité matérielles : Les clés USB de sécurité, comme la YubiKey, offrent une protection robuste contre les attaques. Elles sont indépendantes du réseau mobile et ne peuvent pas être interceptées.

Des applications d'authentification (TOTP) comme Authy.

L'authentification par poussée, en particulier pour les entreprises ayant un grand nombre d'utilisateurs d'applications mobiles.

Des services comme Sift pour aider à détecter les fraudes en arrière-plan.

WebAuthn, qui est encore nouveau mais constitue un remplacement prometteur du mot de passe.

Le courrier électronique, qui présente différents compromis en matière de sécurité, mais qui peut être envisagé en complément d'autres canaux et signaux.

L’authentification à deux facteurs via SMS (2FA-SMS) est une méthode visant à renforcer la sécurité des authentifications. En plus du mot de passe statique, un code dynamique envoyé par SMS est requis. L’utilisateur doit saisir ce code lors de la connexion pour prouver qu’il connaît le mot de passe (1er facteur : connaissance) et qu’il a accès au numéro de téléphone (2e facteur : possession). Ainsi, un mot de passe volé seul ne suffit pas à prendre le contrôle du compte de l’utilisateur.Cette méthode est sous le feu des attaques depuis un certain temps. Grâce à des techniques telles que le changement de carte SIM ou l’exploitation des vulnérabilités SS7 dans les réseaux mobiles, les attaquants peuvent intercepter les SMS. Alternativement, les utilisateurs peuvent être trompés par des attaques de phishing pour révéler leurs mots de passe à usage unique. Le CCC déconseille l’utilisation du SMS comme deuxième facteur depuis 2013, mais le 2FA-SMS reste largement répandu.Le Chaos Computer Club (CCC) a démontré une attaque précédemment négligée contre le 2FA-SMS : les fournisseurs de services sont couramment utilisés pour envoyer ces messages. Ces fournisseurs envoient de gros volumes de SMS pour diverses entreprises et services et ont accès au contenu des SMS. La sécurité du processus d'authentification dépend donc également de la sécurité de ces fournisseurs.IdentifyMobile, un fournisseur de 2FA-SMS, a partagé les mots de passe à usage unique envoyés en temps réel sur internet. La CCC s'est trouvée au bon endroit au bon moment et a accédé aux données. Il a suffi de deviner le sous-domaine "idmdatastore". Outre le contenu des SMS, les numéros de téléphone des destinataires, les noms des expéditeurs et parfois d'autres informations sur les comptes étaient visibles.Plus de 200 entreprises qui ont confié à ce fournisseur, directement ou indirectement par l'intermédiaire d'autres fournisseurs de services, la sécurité de leur authentification ont été touchées. Il s'agit d'entreprises telles que Google, Amazon, Facebook, Microsoft, ainsi que Telegram, Airbnb, FedEx et DHL. Au total, plus de 198 millions de SMS ont été divulgués.En regardant simplement le flux en direct, il aurait été possible :Pour vraiment utiliser les codes SMS à mauvais escient, les attaquants auraient toujours besoin du mot de passe. Cependant, des liens « connexion en un clic » ont également été inclus dans les données. Pour certaines grandes entreprises concernées, seuls des services individuels étaient protégés par IdentifyMobile. Néanmoins, la négligence d'IdentifyMobile a exposé les entreprises et leurs clients à un risque important. C'est ce qui ressort des nombreuses demandes similaires émanant de services de protection des données du monde entier qui nous parviennent à présent par tous les canaux.« Nous sommes heureux de confirmer que nous n'avons pas conservé les données. Cependant, nous ne pouvons pas exclure que d'autres personnes aient pu y avoir accès », a déclaré le CCC.Chaque solution de sécurité est un équilibre délicat entre la protection d'une certaine valeur et la fourniture d'un accès utilisable aux bonnes personnes. Nous évaluons tous en permanence les compromis et calculons les risques afin de trouver le bon équilibre entre sécurité et convivialité. Lorsque l'enjeu est plus important, les gens sont prêts à ajouter des frictions et des protections supplémentaires. Dans le monde physique, cela peut signifier qu'un appartement personnel est équipé d'une simple serrure à pêne dormant tandis qu'une bijouterie investit dans un système d'alarme.Pour les entreprises en ligne, l'authentification par SMS est depuis longtemps un choix populaire pour sécuriser les comptes des consommateurs. C'est un canal facile et familier à déployer et l'utilisation de l'authentification à deux facteurs (2FA) par SMS a même augmenté au cours de ces dernières années. Bien que le canal SMS pose des problèmes de sécurité légitimes, les entreprises doivent tenir compte de leur modèle de menace et proposer un éventail d'options d'authentification à deux facteurs. Proposer des canaux plus sécurisés comme les applications d'authentification et l'authentification push est particulièrement important lorsque vous protégez des cibles de grande valeur comme un compte bancaire ou une messagerie électronique.Voici quelques raisons qui peuvent expliquer la popularité des SMS comme vecteur de 2FA :Certains experts recommandent des alternatives relativement plus sécurisées :Si vous vous positionnez en tant qu'entreprise, il faut analyser la situation sous le prisme de ce que votre entité protège et aussi la façon dont vos utilisateurs peuvent être ciblés. Ajoutez une sécurité supplémentaire pour les comptes de grande valeur - comme les comptes financiers et les courriels - et les cibles de grande valeur - comme les célébrités, les élus ou les activistes - avec des applications d'authentification (TOTP) comme Authy :Un élément important de tout système d'authentification est la récupération du compte. Par conséquent, si vous proposez le 2FA par SMS, réfléchissez à la manière dont vous souhaitez l'utiliser en cas de perte du mot de passe. Certains experts recommandent d'utiliser les SMS en combinaison avec des codes de sauvegarde ou d'autres canaux de possession afin d'ajouter encore plus de protection pour ces comptes/utilisateurs. Pour des garanties supplémentaires, envisagez d'ajouter des périodes d'attente forcées et des notifications par courriel indiquant qu'une récupération est en cours.Il n'existe pas de solution unique, mais il est important de proposer à vos utilisateurs soucieux de la sécurité des canaux sécurisés, tout en offrant des options flexibles aux autres.Le CCC déclare : « Les mots de passe à usage unique générés dans une application ou à l'aide de jetons matériels sont plus sûrs et indépendants du réseau mobile. Si cette option est disponible, nous recommandons de l'utiliser. Et tout deuxième facteur reste meilleur qu'un seul, le mot de passe ».Sources : CCC , NIST ( 1 2 ), GitHub Pensez-vous que le 2FA-SMS est encore une méthode sécurisée pour l’authentification à deux facteurs ? Pourquoi ou pourquoi pas ?Avez-vous déjà été victime d’une attaque de phishing visant à intercepter vos mots de passe à usage unique envoyés par SMS ? Comment avez-vous réagi ?Connaissez-vous des alternatives plus sûres au 2FA-SMS ? Si oui, lesquelles recommanderiez-vous ?Croyez-vous que les entreprises devraient abandonner complètement le 2FA-SMS au profit d’autres méthodes d’authentification ? Pourquoi ou pourquoi pas ?