Tous les systèmes d’authentification à facteurs multiples ne se valent pas
L’utilisation des SMS pour véhiculer un code à usage unique est officiellement déconseillée depuis deux ans. Mais leur transfert par applications dédiées ne protège pas forcément non plus contre le phishing.
C’était au mois de septembre dernier : nos confrères du Guardian révélaient que Deloitte avait été victime d’une attaque informatique partie d’un compte administrateur du serveur de messagerie du cabinet, protégé par un simple mot de passe, sans authentification à facteurs multiples. Le cas est loin d’être isolé : fréquemment, l’utilisation de facteurs d’authentification supplémentaires, au-delà du mot de passe même le plus robuste, est recommandée comme un élément de sécurisation nécessaire, voire indispensable. Mais ce n’est pas une panacée.
Le SMS est déconseillé depuis l’été 2016 par le Nist américain pour véhiculer des codes à usage unique utilisés comme second facteur d’authentification, en raison des faiblesses connues du système de signalisation SS7, mais également du risque de détournement de cartes SIM – une situation déjà rencontrée par Cloudflare en juin 2012.
Face à cela, de plus en plus de services proposent des alternatives basées sur des applications mobiles, telles qu’Authy, notamment. Mais là encore, la solution n’est pas parfaite. Et c’est ce que vient de rappeler Shane Huntley, directeur de la division analyse des menaces de Google.
2FA is super important but please, please stop telling people that by itself it will protect people from being phished by the Russians or governments. If attacker can trick users for a password, they can trick them for a 6 digit code.
— Shane Huntley (@ShaneHuntley) July 22, 2018
Sur Twitter, il souligne que l’authentification à double facteur (ou 2FA, pour 2 Factors Authentication) peut protéger contre des attaques touchant au vol de mots de passe, notamment lorsqu’ils ont été réutilisés. « Mais n’importe quel système 2FA qui implique la saisie d’un code par l’utilisateur peut être phishé ». Et de détailler le processus : « l’utilisateur saisit son mot de passe sur le site des attaquants ; les attaquants tentent de s’authentifier et le code SMS est envoyé à l’utilisateur ; l’attaquant voit que le code est nécessaire et affiche une page demandant le code à l’utilisateur ; l’utilisateur saisit le code ; l’attaquant a gagné ».
Fin 2016, le spécialiste du paiement en ligne Stripe avait lancé une campagne de hameçonnage interne, en utilisant les codes graphiques d’AWS. La page Web frauduleuse était là particulièrement élaborée, allant jusqu’à demander un second facteur d’authentification. Malgré une campagne de formation organisée trois mois plus tôt, le taux de conversion a atteint plus de 25 %, depuis l’ouverture de l’e-mail de phishing jusqu’à la saisie d’identifiants complets permettant de détourner effectivement les comptes d’utilisateurs.
Dès lors, Shane Huntley recommande vivement l’utilisation d’appareils physiques comme second facteur d’authentification, à commencer par les clés USB au standard U2F, porté par l’alliance Fido (pour Fast Identity Online), comme celles de Yubico. Mais il existe également des appareils Bluetooth Low Energy certifiés, ainsi que des cartes sans contact, comme Gemalto, Infineon ou encore Safran en proposent. Certains terminaux mobiles peuvent également faire office aussi de jeton – Nok Nok Labs produit ainsi un client logiciel pour iOS qui tire profit de l’enclave sécurisée et de TouchID. Les navigateurs Chrome, Firefox et Opera supportent nativement U2F. Des projets indépendants visent à son support pour Safari, sous macOS et iOS.