L’authentification à facteurs multiples, pas si robuste que cela ?

La méthode de sécurisation des accès est de plus en plus populaire. Mais elle n’est ne protège pas de toutes les attaques.

Les promoteurs de l’authentification à facteurs multiples ont parfois eu tendance à la présenter comme un nirvana de la sécurité capable de mettre à genoux les pirates spécialistes du détournement des comptes utilisateurs. Mais elle ne fait pas tout.

Souvent connue sous le terme d’authentification à double-facteur (2FA), la méthode ne protège pas contre les logiciels malveillants, l’hameçonnage, ou encore les attaques de type man-in-the-middle, entre autres. Pourtant, les entreprises confrontées à la forte vague de la consumérisation ont commencé à l’adopter pour sécuriser des ressources internes précieuses. Et de fait, l’authentification à facteurs multiples peut réduire l’incidence des vols d’identifiants ou d’accès illégitime sà des données internes - en ajoutant une couche de sécurité aux accès locaux et distants à partir des points d’entrée courants du réseau. Tout cela est correct. Mais il est important de souligner que l’authentification à facteurs multiples ne fournit pas une protection aussi vaste et robuste qu’il est souvent prétendu.

La face sombre de l’authentification à facteurs multiples

L’une de ses faiblesses concerne l’implémentation de l’authentification. Le second facteur d’authentification le plus populaire actuellement est le mot de passe à usage unique (OTP).

Avec cette stratégie, la première couche d’authentification reste le mot de passe personnel. Mais l’utilisateur doit également saisir un code obtenu à partir d’un jeton OTP, reçu par exemple par SMS sur le terminal mobile de l’utilisateur. L’idée est ici que l’OTP n’est accessible qu’à l’individu concerné. Ce qui est, en théorie, supposé garantir qu’un tiers ne peut pas tirer profit d’un accès aux identifiants de l’utilisateur.

Le recours croissant au SMS pour transférer des OTP est problématique

Mais le recours croissant au SMS pour transférer des OTP est en soit problématique parce que les messages sont généralement transmis en clair. Même des pirates débutants peuvent trouver logiciels et services permettant d’intercepter des messages texte. Il leur suffit ensuite de disposer des numéros de téléphone mobile de leurs cibles. Une fois leurs systèmes en place, ils peuvent intercepter les SMS et les transférer à d’autres téléphones mobiles pour utiliser les OTP afin de s’authentifier.

En outre, l’authentification à facteurs multiples ne protège pas contre les attaques de type man-in-the-middle, qui commencent souvent par une campagne d'hameçonnage. En cas de réussite, le courrier électronique dirige l’utilisateur vers un faux site Web conçu pour ressembler à l’original, comme un portail de banque en ligne. Là, l’utilisateurs saisit ses informations d’identification et ses autres données confidentielles que le pirate peut ensuite exploiter frauduleusement. L’utilisateur ne s’en aperçoit que trop tard.

Que se passe-t-il si les mécanismes d’authentification sont compromis ?

En 2011, par exemple, une attaque informatique a réussi à la suite du vol de données relatives aux jetons d’authentification SecurID de RSA, faisant planer un risque sur de nombreux réseaux sécurisés du monde entier.

S’assurer de la bonne implémentation de l’authentification à facteurs multiples

Mais les problèmes ne s’arrêtent pas là. L’an passé, des attaquants ont exploité la vulnérabilité Heartbleed d’OpenSSL pour accéder à des serveurs appartenant à un client d’un prestataire de services de sécurité américain. Les attaquants se sont glissés derrière l’authentification à facteurs multiples pour obtenir des données, auprès de tous les serveurs et clients connectés, dont un nombre significatif de mots de passe déchiffrés.

Les attaquants peuvent également avoir récolté la source utilisée pour générer les jetons OTP utilisés pour l’authentification à facteurs multiples.

Enfin, l’été dernier, des chercheurs ont découvert une vulnérabilité dans le processus d’authentification de PayPal permettant de contourner les protections à facteurs multiples du service. PayPal a confirmé le bug en soulignant que le problème était limité à un petit nombre d’intégrations avec ses programmes Adaptive Payments. Noms d’utilisateurs et mots de passe restaient toutefois nécessaires pour accéder aux comptes.

Plusieurs facteurs valent mieux qu’un

Les incidents mettant en évidence les failles de l’authentification à facteurs multiples ne manquent pas. Et d’autres mécanismes d’authentification sont sûrement concernés. Pourtant, l’authentification à facteurs multiples reste préférable au seul mot de passe.

Il s’agit donc de rester prudent dans la promotion de l’authentification à facteurs multiples et ne pas oublier qu’il ne s’agit que d’un composant d’une stratégie de défense en profondeur plus vaste.

Lors de l’évaluation de la sécurité d’un service, il convient donc de prendre en compte plusieurs facteurs, à commencer par s’assurer que l’implémentation de l’authentification à facteurs multiples n’est pas faite de sorte à engendrer des vulnérabilités additionnelles.

 

Adapté de l’anglais.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)