Sergey Nivens - Fotolia
Authentification à facteurs multiples : le SMS fait de la résistance
Déconseillé depuis bientôt trois ans par le Nist américain, le message texte continue d’être largement utilisé pour l’authentification à facteurs multiples. Et selon Google, ce n’est pas forcément une mauvaise chose.
Le SMS est encore loin d’être délaissé. De nombreuses banques l’utilisent pour ajouter une couche supplémentaire d’authentification aux transactions sensibles, comme les virements. Et de multiples services en ligne s’appuient dessus lorsqu’un système de génération de mots de passe à usage unique (OTP) n’a pas été déployé.
Pour autant, depuis l’été 2016, l’organisme de standardisation américain, le Nist, déconseille l’emploi du SMS pour l’authentification à double facteur. A l’époque, il acceptait que le SMS soit utilisé comme canal de transmission d’OTP, après que l’on se soit assuré que le numéro de téléphone visé correspond bien au téléphone mobile physique et qu’il n’est pas associé à un service de téléphonie sur IP. Mais pour autant, le Nist était clair : pour lui, il y a bientôt trois ans déjà, le SMS était « obsolète ».
Google n’est pas exactement de cet avis. Selon lui, le SMS apparaît encore en mesure de rendre bien des services. Dans un billet de blog, le géant du Web décrit une nouvelle mesure d’authentification adaptative qu’il déploie pour les utilisateurs de ses services. Le concept de base est simple : en cas de suspicion de détection de tentative d’authentification frauduleuse, Google va demander un élément supplémentaire d’authentification.
Selon Google, les défis basés sur un terminal – quelque chose que l’on possède – s’avèrent invariablement plus sûrs que ceux basés sur une connaissance partagée. C’est la clé de sécurité qui offre le niveau de garantie le plus élevé, que ce soit contre les attaques automatisées, les attaques par hameçonnage massives, ou les opérations ciblées, avec pour les trois scénarios, un niveau d’efficacité de 100 %. Vient ensuite la demande de confirmation sur un terminal et le code OTP envoyé par SMS. Mais si celui-ci n’arrive que bon dernier, il s’avère bien suffisant contre les attaques par bot et très largement satisfaisant pour les attaques par phishing sans discernement (96 % d’efficacité). Ce n’est que pour les opérations les plus ciblées qu’il s’avère véritablement insuffisant, avec 76 % d’efficacité, contre 90 % pour la validation sur terminal connu.
Encore une fois, tout dépend donc de son modèle de risque, comme les experts ne cessent le répéter.