Lauthentification deux facteurs (2FA) est devenue une pratique courante pour renforcer la scurit des comptes en ligne. Parmi les mthodes de 2FA, lenvoi de codes via SMS est lune des plus rpandues; des mots de passe usage unique sont alors envoys par SMS. Cependant, cette approche nest pas sans failles. Des chercheurs en scurit du Chaos Computer Club (CCC) ont rcemment eu accs en direct plus de 200 millions de ces SMS provenant de plus de 200 entreprises touches. Voici ce que vous devez savoir.
Lauthentification deux facteurs via SMS (2FA-SMS) est une mthode visant renforcer la scurit des authentifications. En plus du mot de passe statique, un code dynamique envoy par SMS est requis. Lutilisateur doit saisir ce code lors de la connexion pour prouver quil connat le mot de passe (1er facteur : connaissance) et quil a accs au numro de tlphone (2e facteur : possession). Ainsi, un mot de passe vol seul ne suffit pas prendre le contrle du compte de lutilisateur.
Vecteurs dattaque bien connus
Cette mthode est sous le feu des attaques depuis un certain temps. Grce des techniques telles que le changement de carte SIM ou lexploitation des vulnrabilits SS7 dans les rseaux mobiles, les attaquants peuvent intercepter les SMS. Alternativement, les utilisateurs peuvent tre tromps par des attaques de phishing pour rvler leurs mots de passe usage unique. Le CCC dconseille lutilisation du SMS comme deuxime facteur depuis 2013, mais le 2FA-SMS reste largement rpandu.
Fuites de donnes en ligne
Le Chaos Computer Club (CCC) a dmontr une attaque prcdemment nglige contre le 2FA-SMS : les fournisseurs de services sont couramment utiliss pour envoyer ces messages. Ces fournisseurs envoient de gros volumes de SMS pour diverses entreprises et services et ont accs au contenu des SMS. La scurit du processus d’authentification dpend donc galement de la scurit de ces fournisseurs.
IdentifyMobile, un fournisseur de 2FA-SMS, a partag les mots de passe usage unique envoys en temps rel sur internet. La CCC s’est trouve au bon endroit au bon moment et a accd aux donnes. Il a suffi de deviner le sous-domaine « idmdatastore ». Outre le contenu des SMS, les numros de tlphone des destinataires, les noms des expditeurs et parfois d’autres informations sur les comptes taient visibles.
Plus de 200 entreprises qui ont confi ce fournisseur, directement ou indirectement par l’intermdiaire d’autres fournisseurs de services, la scurit de leur authentification ont t touches. Il s’agit d’entreprises telles que Google, Amazon, Facebook, Microsoft, ainsi que Telegram, Airbnb, FedEx et DHL. Au total, plus de 198 millions de SMS ont t divulgus.
En regardant simplement le flux en direct, il aurait t possible :
- de prendre le contrle de numros WhatsApp
- d’effectuer des transactions financires ou de se connecter divers services sans avoir accs au tlphone, condition de connatre le mot de passe.
(Pas encore) une catastrophe
Pour vraiment utiliser les codes SMS mauvais escient, les attaquants auraient toujours besoin du mot de passe. Cependant, des liens connexion en un clic ont galement t inclus dans les donnes. Pour certaines grandes entreprises concernes, seuls des services individuels taient protgs par IdentifyMobile. Nanmoins, la ngligence d’IdentifyMobile a expos les entreprises et leurs clients un risque important. C’est ce qui ressort des nombreuses demandes similaires manant de services de protection des donnes du monde entier qui nous parviennent prsent par tous les canaux.
Nous sommes heureux de confirmer que nous n’avons pas conserv les donnes. Cependant, nous ne pouvons pas exclure que d’autres personnes aient pu y avoir accs , a dclar le CCC.
Aucune solution de scurit n’est parfaite
Chaque solution de scurit est un quilibre dlicat entre la protection d’une certaine valeur et la fourniture d’un accs utilisable aux bonnes personnes. Nous valuons tous en permanence les compromis et calculons les risques afin de trouver le bon quilibre entre scurit et convivialit. Lorsque l’enjeu est plus important, les gens sont prts ajouter des frictions et des protections supplmentaires. Dans le monde physique, cela peut signifier qu’un appartement personnel est quip d’une simple serrure pne dormant tandis qu’une bijouterie investit dans un systme d’alarme.
Pour les entreprises en ligne, l’authentification par SMS est depuis longtemps un choix populaire pour scuriser les comptes des consommateurs. C’est un canal facile et familier dployer et l’utilisation de l’authentification deux facteurs (2FA) par SMS a mme augment au cours de ces dernires annes. Bien que le canal SMS pose des problmes de scurit lgitimes, les entreprises doivent tenir compte de leur modle de menace et proposer un ventail d’options d’authentification deux facteurs. Proposer des canaux plus scuriss comme les applications d’authentification et l’authentification push est particulirement important lorsque vous protgez des cibles de grande valeur comme un compte bancaire ou une messagerie lectronique.
Voici quelques raisons qui peuvent expliquer la popularit des SMS comme vecteur de 2FA :
- Plus pratiques que les mots de passe : depuis l’apparition de l’internet, les mots de passe constituent la norme d’authentification de facto. Mais l’tre humain est oublieux, et nous utilisons donc des mots de passe courts et mmorisables qui peuvent tre devins ou forcs.
Le site web haveibeenpwned.com recueille les informations d’identification trouves lors de violations de donnes et prouve quel point les mots de passe simples et faciles deviner sont courants. Par exemple, le mot de passe 123456 a t vu plus de 24 millions de fois dans des violations de donnes. Pour ne rien arranger, une tude Google de 2019 montre que 64 % des personnes admettent rutiliser leurs mots de passe sur plusieurs sites. C’est un problme car mme si une personne a un mot de passe complexe, si elle le rutilise sur plusieurs sites, une violation de donnes sur MySpace ou Adobe pourrait entraner une violation du compte de l’utilisateur sur le site de votre entreprise par un processus connu sous le nom de « credential stuffing » (bourrage de donnes).
- La plupart des gens peuvent recevoir des SMS : pour pallier l’inscurit des mots de passe, de nombreuses entreprises ont commenc introduire le 2FA, qui utilise quelque chose que vous connaissez (le mot de passe) et quelque chose que vous avez (le tlphone). La rception d’un code de passe usage unique par SMS peut protger un compte si le premier facteur (mot de passe) est compromis. Et puisque nous avons tabli que les mots de passe peuvent tre compromis, c’est une excellente nouvelle.
- Le SMS 2FA fonctionne : L’tat de la scurit en ligne s’amliore constamment et l’industrie s’adapte toujours aux technologies mergentes. Cependant, mme des entreprises comme GitHub, qui mettent en uvre une grande varit d’options 2FA, autorisent toujours l’utilisation du SMS 2FA en tant qu’option. Il est important de noter que GitHub ne force pas les utilisateurs utiliser le SMS, mais le laisse en option pour les personnes qui prfrent la commodit aux protections supplmentaires d’un systme comme TOTP ou WebAuthn.
- Le NIST dit que le SMS 2FA est correct : Le National Institute of Standards and Technology (NIST) a dbattu en 2016 de la suppression du SMS en tant que canal 2FA, mais aprs avoir sollicit les commentaires du public, il a finalement maintenu le SMS en tant que recommandation pour un deuxime facteur. Le NIST a reconnu que l’utilisation du SMS comme deuxime facteur est moins efficace que d’autres approches, mais plus efficace qu’un facteur unique. Cet exercice d’quilibre est difficile et intrinsquement imparfait . Le NIST dconseille l’utilisation de numros VoIP, qui ne permettent pas de prouver la possession d’un appareil.
Quand le SMS 2FA ne suffit pas
Certains experts recommandent des alternatives relativement plus scurises :
- Applications dauthentification : Des applications telles que Google Authenticator, Authy ou Microsoft Authenticator gnrent des codes 2FA directement sur votre appareil, sans passer par le rseau mobile. Elles sont plus scurises que les SMS.
- Cls de scurit matrielles : Les cls USB de scurit, comme la YubiKey, offrent une protection robuste contre les attaques. Elles sont indpendantes du rseau mobile et ne peuvent pas tre interceptes.
Si vous vous positionnez en tant qu’entreprise, il faut analyser la situation sous le prisme de ce que votre entit protge et aussi la faon dont vos utilisateurs peuvent tre cibls. Ajoutez une scurit supplmentaire pour les comptes de grande valeur – comme les comptes financiers et les courriels – et les cibles de grande valeur – comme les clbrits, les lus ou les activistes – avec des applications d’authentification (TOTP) comme Authy :
- Des applications d’authentification (TOTP) comme Authy.
- L’authentification par pousse, en particulier pour les entreprises ayant un grand nombre d’utilisateurs d’applications mobiles.
- Des services comme Sift pour aider dtecter les fraudes en arrire-plan.
- WebAuthn, qui est encore nouveau mais constitue un remplacement prometteur du mot de passe.
- Le courrier lectronique, qui prsente diffrents compromis en matire de scurit, mais qui peut tre envisag en complment d’autres canaux et signaux.
Un lment important de tout systme d’authentification est la rcupration du compte. Par consquent, si vous proposez le 2FA par SMS, rflchissez la manire dont vous souhaitez l’utiliser en cas de perte du mot de passe. Certains experts recommandent d’utiliser les SMS en combinaison avec des codes de sauvegarde ou d’autres canaux de possession afin d’ajouter encore plus de protection pour ces comptes/utilisateurs. Pour des garanties supplmentaires, envisagez d’ajouter des priodes d’attente forces et des notifications par courriel indiquant qu’une rcupration est en cours.
Il n’existe pas de solution unique, mais il est important de proposer vos utilisateurs soucieux de la scurit des canaux scuriss, tout en offrant des options flexibles aux autres.
Le CCC dclare : Les mots de passe usage unique gnrs dans une application ou l’aide de jetons matriels sont plus srs et indpendants du rseau mobile. Si cette option est disponible, nous recommandons de l’utiliser. Et tout deuxime facteur reste meilleur qu’un seul, le mot de passe .
Sources : CCC, NIST (1, 2), GitHub, Google
Et vous ?
Pensez-vous que le 2FA-SMS est encore une mthode scurise pour lauthentification deux facteurs ? Pourquoi ou pourquoi pas ?
Avez-vous dj t victime dune attaque de phishing visant intercepter vos mots de passe usage unique envoys par SMS ? Comment avez-vous ragi ?
Connaissez-vous des alternatives plus sres au 2FA-SMS ? Si oui, lesquelles recommanderiez-vous ?
Croyez-vous que les entreprises devraient abandonner compltement le 2FA-SMS au profit dautres mthodes dauthentification ? Pourquoi ou pourquoi pas ?