PiChris - Fotolia
Phishing : l’authentification à facteurs multiples, une aide, pas une panacée
Pour lutter contre le vol d’identifiants, l’authentification à facteurs multiples est souvent présentée comme une aide précieuse. Mais l’ingéniosité croissante des attaquants en a considérablement affaibli l’efficacité. En particulier pour certaines méthodes.
C’était il y a un an. Pan Chan et Trevor Haskell, chez FireEye (entreprise de sécurité informatique américaine), le rappelaient : « l’authentification à second facteur ajoute une couche d’authentification supplémentaire aux traditionnels nom d’utilisateur et mot de passe ».
Souvent évoquée sous le terme 2FA, pour « two-factor authentication », cette technique s’appuie généralement sur des mots de passe à usage unique – ou OTP, pour « one time password » – ou des notifications poussées sur un terminal mobile.
« Les OTP sont générés par un second appareil, comme un jeton physique, et sont liés à un utilisateur donné. Ces mots de passe expirent après 30 à 60 secondes et ne peuvent être réutilisés ». De leur côté, les notifications sont adressées à un terminal mobile de l’utilisateur afin que ce dernier confirme la demande d’authentification. « Ces deux implémentations protègent les utilisateurs des campagnes traditionnelles de "phishing" qui se contentent du nom d’utilisateur et du mot de passe ».
Des vulnérabilités désormais bien connues
Las, malgré une popularité croissante, induite par le besoin d’aller au-delà des simples mots de passe – même complexes et robustes –, « les implémentations de la 2FA ont été mises en défaut par des techniques de hameçonnage en temps réel ». Le phénomène n’est pas nouveau. Comme le rappelaient l’an dernier Pan Chan et Trevor Haskell, de telles techniques sont évoquées depuis bientôt dix ans. FireEye lui-même a développé un outil dédié, baptisé Reelphish et utilisé dans le cadre de sessions d’entraînement – des engagements dits de red team.
S’il le fallait, le temps n’a fait que confirmer leurs assertions. Des vulnérabilités dans le protocole de signalisation utilisé dans les réseaux de télécommunications commutés, SS7, ont permis d’intercepter des communications et des messages texte, à l’instar de SMS contenant des OTP. Des utilisateurs du très populaire Reddit en ont fait l’amère expérience. Et c’est sans compter sur les attaques basées sur l’échange de cartes SIM.
S’il était encore nécessaire de s’en convaincre, ce n’est donc pas pour rien si le très sérieux Nist américain recommande depuis juillet 2016 d’abandonner le SMS pour l’envoi de codes OTP. La pratique est toutefois encore largement répandue, ne serait-ce que dans le monde de la banque.
Des attaques de plus en plus fréquentes
En décembre dernier, Amnesty International a même tiré la sonnette d’alarme sur plusieurs campagnes de vol d’identifiants, notamment au Moyen-Orient et en Afrique du Nord, contournant les mécanismes de 2FA mis en place. Elles visent notamment les utilisateurs de services de communication particulièrement sécurisés comme ProtonMail, mais pas uniquement.
Et la situation est probablement appelée à ne pas s’améliorer. Un chercheur a récemment rendu public, sur Github, un outil appelé Modlishka : un « proxy inversé flexible et puissant » conçu à des fins pédagogiques, mais qui peut également être utilisé à mauvais escient pour conduire des attaques de phishing contournant, de manière automatisée, certains mécanismes d’authentification à deux facteurs.
Pour Pan Chan et Trevor Haskell, il n’est pas question d’abandonner la 2FA : « ce n’est pas une solution parfaite, mais elle ajoute une couche de sécurité ». Même son de cloche du côté d’Amnesty International : « ne vous trompez pas, l’authentification à double facteur est importante et vous devriez vous assurer de l’activer partout où vous le pouvez ».
De nouveaux mécanismes plus robustes
Mais pour les experts de FireEye, la 2FA doit donc être appréhendée comme « un mécanisme de sécurité susceptible d’échouer comme n’importe quel autre. Et les organisations doivent être préparées à limiter l’impact d’une telle mise en défaut ».
En outre, certains mécanismes d’authentification à deux facteurs peuvent résister – à condition qu’ils soient mis en œuvre correctement, et pour l’instant – à certaines attaques visant à contourner la 2FA. Et cela commence par ceux basés sur des clés cryptographiques U2F, à l’instar de celles de Yubico. Les navigateurs Chrome, Firefox et Opera les supportent, de même que Microsoft Edge et Windows 10, dans le cadre de la plateforme Hello. Une extension développée indépendamment d’Apple ouvre son navigateur Safari aux clés U2F. Mais le groupe prépare le support de WebAuthn, un standard permettant l’authentification auprès de sites Web via des clés cryptographiques FIDO.
Mark Risher, responsable de la sécurité des comptes chez Google, estime aujourd’hui que la 2FA « devrait être le point de départ » pour les entreprises, une base incontournable en somme. Car même sa mise en œuvre représente des coûts – techniques et de formation, notamment –, « l’actualité récente a montré que toutes les entreprises ont quelque chose à perdre ».