Les autorits fdrales amricaines avertissent que l’authentification par SMS n’est pas sre, Notamment l’Agence pour la cyberscurit et la scurit des infrastructures

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Les autorits fdrales amricaines, notamment l’Agence pour la cyberscurit et la scurit des infrastructures (CISA), alertent sur l’inscurit de l’authentification par SMS, juge vulnrable l’interception et au phishing. Elles recommandent des solutions plus robustes, comme l’utilisation de communications chiffres de bout en bout (Signal) et d’authentification forte via des cls de scurit matrielles FIDO (ex. Yubico, Google Titan). Les SMS restent acceptables uniquement pour l’inscription initiale, mais pas pour un accs continu.

Des conseils spcifiques incluent la scurisation des tlphones (verrouillage, codes PIN, mises jour rgulires), et l’adoption d’outils comme le mode verrouillage sur iPhone ou Play Protect sur Android. Le remplacement progressif des mots de passe par des passkeys et l’utilisation d’applications d’authentification renforcent la scurit numrique.

Suite aux rcentes rvlations du FBI et de la CISA concernant l’infiltration des rseaux amricains par le groupe Salt Typhoon et l’avertissement de cesser l’utilisation des SMS, la CISA a publi de nouvelles recommandations pour renforcer la scurit des communications. Ces conseils, bien que destins aux fonctionnaires amricains, mriteraient une application plus large.

Ils prconisent notamment lusage exclusif de communications chiffres de bout en bout, comme Signal, compatibles la fois avec iPhone et Android, excluant ainsi Google Messages et iMessage. En matire d’authentification, le recours des dispositifs FIDO rsistants au phishing, tels que les cls de scurit matrielles (Yubico, Google Titan), est recommand, les cls d’accs FIDO tant une alternative acceptable.

L’Agence pour la cyberscurit et la scurit des infrastructures a identifi des activits de cyberespionnage menes par des acteurs de la menace affilis au gouvernement de la Rpublique populaire de Chine (RPC) et visant des infrastructures de tlcommunications commerciales. Ces activits ont permis de voler des enregistrements d’appels de clients et de compromettre la vie prive d’un nombre limit de personnes trs cibles. Bien qu’elles s’appliquent tous les publics, ces orientations s’adressent spcifiquement aux personnes trs cibles qui occupent des postes gouvernementaux ou politiques de haut niveau et qui sont susceptibles de dtenir des informations susceptibles d’intresser ces acteurs de la menace.

Les SMS sont catgoriquement dconseills pour lauthentification deux facteurs (2FA) ou multifactorielle (MFA), en raison de leur vulnrabilit linterception et au phishing. Ils peuvent cependant tre tolrs pour les inscriptions initiales, mais un autre moyen de 2FA/MFA doit tre utilis pour les accs rguliers.

Le NIST appelle des alternatives au SMS pour l’authentification

En 2016, le NIST a dclar que l’envoi de mots de passe usage unique via SMS n’tait pas une mthode sre en raison du risque lev d’interception. L’institut a conseill aux responsables de systmes de privilgier d’autres moyens d’authentification, qualifiant l’authentification par SMS ou appels vocaux de mthode obsolte , dont la suppression est envisage dans les prochaines mises jour des directives. Les organisations utilisant les SMS pour la 2FA sont invites vrifier que les numros utiliss ne sont pas associs des services de voix sur IP.

Cependant, de nombreuses entreprises, telles que Google, Twitter et Facebook, continuent d’utiliser les SMS comme option de repli pour la vrification, en complment d’outils plus scuriss comme Google Authenticator ou les cls matrielles.

Mayank Saha, de Duo Security, note que six mois aprs l’annonce du NIST, l’utilisation des SMS pour la 2FA n’a pratiquement pas diminu. Duo Security, qui compte parmi ses clients la NASA, Facebook et Toyota, rapporte que la proportion de trafic utilisant les SMS pour la 2FA reste stable, oscillant entre 6 % et 8 %, malgr les recommandations du NIST.

Saha observe que, bien que les SMS perdent lentement en popularit, les directives du NIST n’ont pas acclr cette transition. Il souligne que des mthodes comme l’authentification par notification push, adopte par Google en juin, ou les cls USB U2F, sont non seulement plus sres, mais aussi plus pratiques. Google a d’ailleurs mis en avant ces technologies dans une tude intitule Security Keys: Practical Cryptographic Second Factors for the Modern Web.

Bien que les SMS soient la mthode de 2FA la plus accessible, car ils ne ncessitent qu’un tlphone avec une carte SIM valide, ils sont galement faciles dtourner. Les fraudeurs peuvent manipuler les oprateurs tlphoniques pour transfrer des numros en contournant les contrles d’identit, ce qui a permis des attaques visant bloquer les alertes SMS bancaires.

Les recommandations du NIST interviennent quatre ans aprs quun groupe australien du secteur priv, la Communications Alliance, a dj dnonc l’inscurit des SMS pour l’authentification deux facteurs.

La CISA insiste sur limportance de scuriser les tlphones, les cartes SIM et les services des oprateurs via des codes PIN pour protger contre les attaques telles que le transfert frauduleux de numro. Des recommandations spcifiques sont formules selon les systmes.

Recommandations spcifiques l’iPhone

  1. Activer le mode verrouillage

    Le mode verrouillage restreint certaines fonctionnalits, applications et sites web, ou les dsactive compltement. Cela permet de rduire la surface dattaque exploitable par des menaces potentielles.
  2. Dsactiver lenvoi automatique de SMS en cas dindisponibilit diMessage

    Pour garantir que vos messages bnficient du chiffrement de bout en bout offert par iMessage, dsactivez loption Envoyer comme message texte en accdant :

    Rglages → Applications → Messages → Dsactiver « Envoyer comme message texte ».
  3. Scuriser vos requtes DNS

    Protgez vos requtes DNS pour empcher leur interception ou manipulation par des acteurs malveillants :

    • Utilisez Apple iCloud Private Relay pour bnficier dune confidentialit et dune scurit accrues ;
    • dfaut, configurez des services DNS chiffrs comme 1.1.1.1 (Cloudflare), 8.8.8.8 (Google) ou 9.9.9.9 (Quad9), qui offrent une alternative gratuite et partielle.

  4. Sinscrire Apple iCloud Private Relay

    Pour une protection renforce, inscrivez-vous Apple iCloud Private Relay (consultez le guide utilisateur iCloud pour les instructions de configuration). Cette fonctionnalit garantit :

    • Lutilisation de DNS scuriss ;
    • Le masquage des adresses IP ;
    • Une rpartition du trafic entre des serveurs contrls par Apple et un tiers, minimisant ainsi les risques quune seule entit puisse accder vos donnes.
  5. Rviser et restreindre les autorisations des applications

    Dans Rglages → Confidentialit et scurit, vrifiez les applications qui accdent des donnes sensibles comme la localisation, lappareil photo ou le microphone. Supprimez ou limitez les autorisations inutiles ou excessives afin de mieux protger vos informations personnelles.

Recommandations spcifiques Android

Les recommandations ci-dessous s’adressent spcifiquement aux utilisateurs d’Android et visent renforcer la protection des communications mobiles.

  1. Choisir des appareils fiables et scuriss
    • Privilgiez les modles de fabricants reconnus pour leurs antcdents solides en matire de scurit et leur engagement fournir des mises jour de scurit sur le long terme ;
    • Consultez des ressources comme la liste des appareils Android recommands pour les entreprises afin de vrifier leur conformit aux normes de scurit et de mises jour ;
    • Optez pour des modles dots de fonctionnalits de scurit matrielle, telles que les enclaves scurises ou les modules de scurit matriels (HSM) ;
    • Prfrez les appareils proposant des mises jour de scurit mensuelles pendant au moins cinq ans.

  2. Utiliser les services RCS avec chiffrement de bout en bout

    Assurez-vous que le chiffrement de bout en bout est activ lorsque vous utilisez les services de communication riches (RCS), comme Google Messages, pour garantir la confidentialit des changes.
  3. Configurer un DNS priv scuris

    Configurez Android Private DNS pour utiliser des rsolveurs rputs et scuriss, tels que 1.1.1.1 (Cloudflare), 8.8.8.8 (Google) ou 9.9.9.9 (Quad9), afin de protger vos requtes DNS contre linterception et la manipulation.
  4. Activer les connexions scurises dans Chrome

    Vrifiez que loption Toujours utiliser des connexions scurises est active dans le navigateur Chrome. Cette fonction privilgie les connexions HTTPS et rduit les risques lis aux interceptions et manipulations des donnes lors de la navigation.
  5. Activer la protection renforce pour la navigation scurise

    Confirmez que la fonction Navigation scurise avec protection renforce est active dans Chrome. Elle offre une couche supplmentaire contre les sites malveillants, les tentatives de phishing et les tlchargements nuisibles. Consultez les guides de Google pour configurer cette fonctionnalit.
  6. Activer Google Play Protect

    Vrifiez que Google Play Protect est activ pour dtecter et bloquer les applications malveillantes. Effectuez des analyses rgulires et vitez autant que possible les boutiques dapplications tierces ou linstallation dapplications provenant de sources non vrifies.
  7. Grer les autorisations des applications

    Accdez Paramtres → Applications → Gestionnaire dautorisations pour examiner et limiter les autorisations des applications. Rvoquez les accs non ncessaires, notamment pour des donnes sensibles comme la localisation, lappareil photo ou le microphone.

Enfin, ladoption de passkeys, dj en cours avec des initiatives comme celle de Microsoft visant liminer les mots de passe, est mise en avant comme une solution davenir. En attendant, les applications dauthentification et les gestionnaires de mots de passe intgrs, comme la nouvelle application Passwords dApple, simplifient laccs scuris aux comptes.

Pourquoi les SMS ne suffisent plus face aux cybermenaces

Les recommandations des autorits fdrales amricaines, comme celles de la CISA, mettent en lumire les limites des SMS en tant que mthode d’authentification. Bien qu’ils soient pratiques et universels, leur manque de chiffrement et leur vulnrabilit aux attaques de type phishing et interception en font une solution obsolte pour les utilisateurs risque lev. En insistant sur des alternatives plus robustes comme les cls matrielles FIDO et les applications d’authentification, ces recommandations alignent les pratiques de scurit sur les menaces contemporaines, tout en rduisant les risques d’exposition aux cyberattaques.

Cependant, ces orientations ne sont pas exemptes de critiques. La transition vers des solutions comme les cls matrielles ou les applications d’authentification pose des dfis pratiques, notamment en termes de gestion des sauvegardes et de rcupration des accs en cas de perte ou de panne dappareil. Bien que certaines applications proposent des mcanismes de sauvegarde, la complexit et les risques lis la gestion des codes de rcupration ou des appareils supplmentaires peuvent freiner leur adoption. Ces solutions ncessitent galement une sensibilisation accrue des utilisateurs pour viter des erreurs qui pourraient compromettre leur accs.

En outre, labandon des SMS soulve des questions sur la ncessit doffrir des alternatives inclusives et accessibles un large ventail dutilisateurs, notamment ceux qui ne possdent pas de smartphones ou de connaissances techniques avances. L’ide de simplifier les sauvegardes, par exemple en utilisant des codes de rcupration au format universel et scuris, pourrait tre une solution intermdiaire efficace. Cela garantirait une adoption plus large tout en minimisant les barrires technologiques.

Enfin, les proccupations concernant les portes drobes imposes par certains gouvernements montrent que la scurit des outils dpend aussi de leur indpendance face de potentielles pressions extrieures. Il est crucial de sassurer que les solutions recommandes respectent des normes de confidentialit strictes, sans compromis qui pourraient les exposer des abus similaires ceux dnoncs dans les rcentes attaques. Ces recommandations, bien quimparfaites, marquent un pas dans la bonne direction pour renforcer la scurit numrique une poque o les cybermenaces ne cessent de crotre.

Source : CISA

Et vous ?

Quel est votre avis sur le suejt ?

Quels sont les principaux obstacles la transition gnralise vers des mthodes d’authentification plus robustes comme les cls matrielles FIDO ou les applications d’authentification ?

Les recommandations de la CISA prennent-elles suffisamment en compte les besoins des petites entreprises ou des organisations aux ressources limites ?

Comment grer les risques associs la perte ou au vol de cls matrielles ou d’appareils utiliss pour l’authentification forte ?

La transition vers des mthodes d’authentification avances peut-elle renforcer la confiance des utilisateurs ou risque-t-elle de susciter des inquitudes sur la vie prive et la complexit des systmes ?

Les recommandations actuelles offrent-elles une solution de secours fiable pour les utilisateurs qui perdent l’accs leurs outils d’authentification principale ?

Voir aussi :

Des chercheurs rvlent une faille dans l’authentification deux facteurs via SMS : des mots de passe usage unique divulgus en temps rel

Ils ont eu accs plus de 200 millions de ces SMS

L’utilisation de la double authentification augmente, les consommateurs recherchant une meilleure protection, 79 % d’utilisateurs en 2021, contre 53 % en 2019 et 28 % en 2017, selon Duo Security

Google souhaite que tous les comptes utilisent l’authentification deux facteurs, et commence inscrire obligatoirement les utilisateurs



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.