Discussion :

[Stéphane le calme]

Des chercheurs révèlent une faille dans l’authentification à deux facteurs via SMS : des mots de passe à usage unique divulgués en temps réel,
ils ont eu accès à plus de 200 millions de ces SMS

L’authentification à deux facteurs (2FA) est devenue une pratique courante pour renforcer la sécurité des comptes en ligne. Parmi les méthodes de 2FA, l’envoi de codes via SMS est l’une des plus répandues; des mots de passe à usage unique sont alors envoyés par SMS. Cependant, cette approche n’est pas sans failles. Des chercheurs en sécurité du Chaos Computer Club (CCC) ont récemment eu accès en direct à plus de 200 millions de ces SMS provenant de plus de 200 entreprises touchées. Voici ce que vous devez savoir.

L’authentification à deux facteurs via SMS (2FA-SMS) est une méthode visant à renforcer la sécurité des authentifications. En plus du mot de passe statique, un code dynamique envoyé par SMS est requis. L’utilisateur doit saisir ce code lors de la connexion pour prouver qu’il connaît le mot de passe (1er facteur : connaissance) et qu’il a accès au numéro de téléphone (2e facteur : possession). Ainsi, un mot de passe volé seul ne suffit pas à prendre le contrôle du compte de l’utilisateur.

Vecteurs d’attaque bien connus

Cette méthode est sous le feu des attaques depuis un certain temps. Grâce à des techniques telles que le changement de carte SIM ou l’exploitation des vulnérabilités SS7 dans les réseaux mobiles, les attaquants peuvent intercepter les SMS. Alternativement, les utilisateurs peuvent être trompés par des attaques de phishing pour révéler leurs mots de passe à usage unique. Le CCC déconseille l’utilisation du SMS comme deuxième facteur depuis 2013, mais le 2FA-SMS reste largement répandu.

Fuites de données en ligne

Le Chaos Computer Club (CCC) a démontré une attaque précédemment négligée contre le 2FA-SMS : les fournisseurs de services sont couramment utilisés pour envoyer ces messages. Ces fournisseurs envoient de gros volumes de SMS pour diverses entreprises et services et ont accès au contenu des SMS. La sécurité du processus d'authentification dépend donc également de la sécurité de ces fournisseurs.

IdentifyMobile, un fournisseur de 2FA-SMS, a partagé les mots de passe à usage unique envoyés en temps réel sur internet. La CCC s'est trouvée au bon endroit au bon moment et a accédé aux données. Il a suffi de deviner le sous-domaine "idmdatastore". Outre le contenu des SMS, les numéros de téléphone des destinataires, les noms des expéditeurs et parfois d'autres informations sur les comptes étaient visibles.

Plus de 200 entreprises qui ont confié à ce fournisseur, directement ou indirectement par l'intermédiaire d'autres fournisseurs de services, la sécurité de leur authentification ont été touchées. Il s'agit d'entreprises telles que Google, Amazon, Facebook, Microsoft, ainsi que Telegram, Airbnb, FedEx et DHL. Au total, plus de 198 millions de SMS ont été divulgués.

En regardant simplement le flux en direct, il aurait été possible :

• de prendre le contrôle de numéros WhatsApp
• d'effectuer des transactions financières ou de se connecter à divers services sans avoir accès au téléphone, à condition de connaître le mot de passe.

(Pas encore) une catastrophe

Pour vraiment utiliser les codes SMS à mauvais escient, les attaquants auraient toujours besoin du mot de passe. Cependant, des liens « connexion en un clic » ont également été inclus dans les données. Pour certaines grandes entreprises concernées, seuls des services individuels étaient protégés par IdentifyMobile. Néanmoins, la négligence d'IdentifyMobile a exposé les entreprises et leurs clients à un risque important. C'est ce qui ressort des nombreuses demandes similaires émanant de services de protection des données du monde entier qui nous parviennent à présent par tous les canaux.

« Nous sommes heureux de confirmer que nous n'avons pas conservé les données. Cependant, nous ne pouvons pas exclure que d'autres personnes aient pu y avoir accès », a déclaré le CCC.

Aucune solution de sécurité n'est parfaite

Chaque solution de sécurité est un équilibre délicat entre la protection d'une certaine valeur et la fourniture d'un accès utilisable aux bonnes personnes. Nous évaluons tous en permanence les compromis et calculons les risques afin de trouver le bon équilibre entre sécurité et convivialité. Lorsque l'enjeu est plus important, les gens sont prêts à ajouter des frictions et des protections supplémentaires. Dans le monde physique, cela peut signifier qu'un appartement personnel est équipé d'une simple serrure à pêne dormant tandis qu'une bijouterie investit dans un système d'alarme.

Pour les entreprises en ligne, l'authentification par SMS est depuis longtemps un choix populaire pour sécuriser les comptes des consommateurs. C'est un canal facile et familier à déployer et l'utilisation de l'authentification à deux facteurs (2FA) par SMS a même augmenté au cours de ces dernières années. Bien que le canal SMS pose des problèmes de sécurité légitimes, les entreprises doivent tenir compte de leur modèle de menace et proposer un éventail d'options d'authentification à deux facteurs. Proposer des canaux plus sécurisés comme les applications d'authentification et l'authentification push est particulièrement important lorsque vous protégez des cibles de grande valeur comme un compte bancaire ou une messagerie électronique.

Voici quelques raisons qui peuvent expliquer la popularité des SMS comme vecteur de 2FA :

• Plus pratiques que les mots de passe : depuis l'apparition de l'internet, les mots de passe constituent la norme d'authentification de facto. Mais l'être humain est oublieux, et nous utilisons donc des mots de passe courts et mémorisables qui peuvent être devinés ou forcés.
  
  Le site web haveibeenpwned.com recueille les informations d'identification trouvées lors de violations de données et prouve à quel point les mots de passe simples et faciles à deviner sont courants. Par exemple, le mot de passe 123456 a été vu plus de 24 millions de fois dans des violations de données. Pour ne rien arranger, une étude Google de 2019 montre que 64 % des personnes admettent réutiliser leurs mots de passe sur plusieurs sites. C'est un problème car même si une personne a un mot de passe complexe, si elle le réutilise sur plusieurs sites, une violation de données sur MySpace ou Adobe pourrait entraîner une violation du compte de l'utilisateur sur le site de votre entreprise par un processus connu sous le nom de "credential stuffing" (bourrage de données).
• La plupart des gens peuvent recevoir des SMS : pour pallier l'insécurité des mots de passe, de nombreuses entreprises ont commencé à introduire le 2FA, qui utilise quelque chose que vous connaissez (le mot de passe) et quelque chose que vous avez (le téléphone). La réception d'un code de passe à usage unique par SMS peut protéger un compte si le premier facteur (mot de passe) est compromis. Et puisque nous avons établi que les mots de passe peuvent être compromis, c'est une excellente nouvelle.
• Le SMS 2FA fonctionne : L'état de la sécurité en ligne s'améliore constamment et l'industrie s'adapte toujours aux technologies émergentes. Cependant, même des entreprises comme GitHub, qui mettent en œuvre une grande variété d'options 2FA, autorisent toujours l'utilisation du SMS 2FA en tant qu'option. Il est important de noter que GitHub ne force pas les utilisateurs à utiliser le SMS, mais le laisse en option pour les personnes qui préfèrent la commodité aux protections supplémentaires d'un système comme TOTP ou WebAuthn.
• Le NIST dit que le SMS 2FA est correct : Le National Institute of Standards and Technology (NIST) a débattu en 2016 de la suppression du SMS en tant que canal 2FA, mais après avoir sollicité les commentaires du public, il a finalement maintenu le SMS en tant que recommandation pour un deuxième facteur. Le NIST a reconnu que « l'utilisation du SMS comme deuxième facteur est moins efficace que d'autres approches, mais plus efficace qu'un facteur unique. Cet exercice d'équilibre est difficile et intrinsèquement imparfait ». Le NIST déconseille l'utilisation de numéros VoIP, qui ne permettent pas de prouver la possession d'un appareil.

Quand le SMS 2FA ne suffit pas

Certains experts recommandent des alternatives relativement plus sécurisées :

• Applications d’authentification : Des applications telles que Google Authenticator, Authy ou Microsoft Authenticator génèrent des codes 2FA directement sur votre appareil, sans passer par le réseau mobile. Elles sont plus sécurisées que les SMS.
• Clés de sécurité matérielles : Les clés USB de sécurité, comme la YubiKey, offrent une protection robuste contre les attaques. Elles sont indépendantes du réseau mobile et ne peuvent pas être interceptées.

Si vous vous positionnez en tant qu'entreprise, il faut analyser la situation sous le prisme de ce que votre entité protège et aussi la façon dont vos utilisateurs peuvent être ciblés. Ajoutez une sécurité supplémentaire pour les comptes de grande valeur - comme les comptes financiers et les courriels - et les cibles de grande valeur - comme les célébrités, les élus ou les activistes - avec des applications d'authentification (TOTP) comme Authy :

• Des applications d'authentification (TOTP) comme Authy.
• L'authentification par poussée, en particulier pour les entreprises ayant un grand nombre d'utilisateurs d'applications mobiles.
• Des services comme Sift pour aider à détecter les fraudes en arrière-plan.
• WebAuthn, qui est encore nouveau mais constitue un remplacement prometteur du mot de passe.
• Le courrier électronique, qui présente différents compromis en matière de sécurité, mais qui peut être envisagé en complément d'autres canaux et signaux.

Un élément important de tout système d'authentification est la récupération du compte. Par conséquent, si vous proposez le 2FA par SMS, réfléchissez à la manière dont vous souhaitez l'utiliser en cas de perte du mot de passe. Certains experts recommandent d'utiliser les SMS en combinaison avec des codes de sauvegarde ou d'autres canaux de possession afin d'ajouter encore plus de protection pour ces comptes/utilisateurs. Pour des garanties supplémentaires, envisagez d'ajouter des périodes d'attente forcées et des notifications par courriel indiquant qu'une récupération est en cours.

Il n'existe pas de solution unique, mais il est important de proposer à vos utilisateurs soucieux de la sécurité des canaux sécurisés, tout en offrant des options flexibles aux autres.

Le CCC déclare : « Les mots de passe à usage unique générés dans une application ou à l'aide de jetons matériels sont plus sûrs et indépendants du réseau mobile. Si cette option est disponible, nous recommandons de l'utiliser. Et tout deuxième facteur reste meilleur qu'un seul, le mot de passe ».

Sources : CCC, NIST (1, 2), GitHub, Google

Et vous ?

Pensez-vous que le 2FA-SMS est encore une méthode sécurisée pour l’authentification à deux facteurs ? Pourquoi ou pourquoi pas ?
Avez-vous déjà été victime d’une attaque de phishing visant à intercepter vos mots de passe à usage unique envoyés par SMS ? Comment avez-vous réagi ?
Connaissez-vous des alternatives plus sûres au 2FA-SMS ? Si oui, lesquelles recommanderiez-vous ?
Croyez-vous que les entreprises devraient abandonner complètement le 2FA-SMS au profit d’autres méthodes d’authentification ? Pourquoi ou pourquoi pas ?

[Artemus24]

Salut à tous.

Je n'ai pas compris pourquoi je devais recevoir un SMS pour m'identifier sur mon compte bancaire.
Alors que le SMS est diffusé en clair sur le réseau des téléphones mobiles.
Ce qui implique d'être en premier lieu possesseur d'un téléphone mobile pour recevoir ces SMS, ce qui n'est pas mon cas.

L'argument du choix du téléphone mobile repose sur le fait que l'on connait son propriétaire.
Comme si personne ne s'est jamais fait volé son téléphone mobile.
Ou encore pirater par la carte SIM, les accès à son téléphone mobile.
J'ai lu sur le net, qu'une personne s'est fait voler 10 000€ en bitcoin par le piratage de sa carte SIM.

Une ligne fixe ne se vole pas, mais comme la technologie utilisée est celle des SIP/VOIP, on ne peut pas garantir l'identification de son propriétaire.
Pourtant un simple message vocale, comme j'ai pu le constater avec DOCTOLIB, fonctionne très bien pour s'identifier.

Cela me fait peur de confier les accès à mon compte bancaire alors que n'importe qui, de n'importe où dans le monde, peut y avoir accès.
Toute la sécurité va reposer sur la fiabilité du mot de passe que j'utilise pour accéder à mon compte bancaire.
Il faudrait le changer tous les mois, le renseigner d'une manière complexe, ce qui m'oblige alors à l'écrire ou l'enregistrer quelque part.

Après, j'ignore totalement ce que l'on peut faire depuis ce compte bancaire, en tant que virement.
Mais admettons que je puisse faire un virement vers AMAZON, un pirate peut profiter de cette aubaine pour faire ses achats.

Pourquoi passer par un téléphone mobile pour s'identifier alors que les SMS ne sont en aucune façon sécurisé ?

[Pierre Louis Chevalier]

Tu as raison c'est pas sérieux, je pense que c'est une solution provisoire.
Il faut utiliser une solution sécurisée, soit sur application mobile, soit en utilisant une clef de sécurité, toute banque sérieuse doit déjà être capable de le proposer.

[Artemus24]

Cette directive 2FA est proposée par la commission européenne et dont les banques sont tenus de suivre ou pas.
Je suis obligé d'avoir un téléphone mobile pour m'identifier alors que pour l'instant, je n'en ai pas besoin.
Et j'ai une ligne téléphonique fixe dont je ne peux pas me servir pour l'identifier, même par envoi vocale.

Le pire dans cette histoire, il existe d'autres solutions bien plus sécurisé que le 2FA.
Je crois qu'il existe un boitier que je branche sur mon ordinateur et faisant le travail d'identification, mais ma banque refuse de me le communiquer.
On peut aussi sécuriser mes accès à partir de mes adresses IP fixes.
Ou encore par un certificat que je serai le seul à détenir.
Cette directive 2FA a été mis en place pour ma banque l'année dernière et je ne crois pas qu'elle sera remplacé par autre chose.

Concernant la banque, je suis obligé de me rendre à l'agence pour leur donner mon numéro de téléphone mobile.
Je ne peux pas faire n'importe quel virement sauf si je viens à l'agence leur donner le RIB en question.
Je trouve cela contraignant de ce rendre à l'agence juste pour ajouter un nouveau RIB.

[Claude40]

Bonjour,
Les banques (notamment) sont têtues et se retranchent derrière les directives européennes en oubliant que ces même directives disent qu'il faut proposer des méthodes alternatives d'identification fortes pour les utilisateurs qui ne veulent pas utiliser de mobile ou qui se méfient des SMS. Personnellement, à chaque fois que j'ai le choix, je préfère recevoir le code par mail, surtout si je consulte ma banque (ou la Sécu, par exemple) à partir de mon PC.
Mais, hélas, la sécurité absolue est difficile à obtenir, voire impossible. Qui sait ce que les escrocs peuvent inventer pour détourner les procédures les plus sécurisées ?

[Pierre Louis Chevalier]

Je trouve cela contraignant de ce rendre à l'agence juste pour ajouter un nouveau RIB.

Tu ne devrais pas avoir à faire ça, une banque normalement constituée te permet de t'identifier de façon sécurisée soit avec une application mobile soit une clef de sécurité, et tu dois pouvoir ajouter un nouveau bénéficiaire pour les virements en suivant une procédure sécurisée en ligne.

Essaye de voir avec eux les possibilités, peut être que tu as raté quelque chose, ou change de banque.

[Artemus24]

@ Claude40 : je ne savais pas que les banques devaient nous proposer des méthodes alternatives. Et si elle se refuse à le faire ?

Je n'ai aucun problème avec les e-mail car j'ai un nom de domaine et je gère moi-même le serveur. Coté sécurité, je n'ai pas de problème. Inversement, tout le monde n'a pas son propre nom de domaine et certains sont obligés de passer soit par leur FAI ou soit carrément chez Google (gmail.com).

Je préfère plutôt un dispositif que l'on branche sur mon ordinateur avec lecture des empreintes digitales ou encore mieux celle de la rétine. Pourquoi je dis encore mieux ? Une empreinte digital peut se recopier car on touche beaucoup de chose avec nos doigts.

@ Pierre Louis Chevalier : je ne me suis pas encore penché sur cette question de l'accès et des moyens de paiements via l'internet. Ce qui me fait peur est de passer par un téléphone mobile pour m'identifier auprès de la banque alors que celui-ci n'est pas sécurisé, au moins sur les SMS et que n'importe qui duplique ma carte SIM peut obtenir ce code de quatre chiffres.

Et je ne parle même pas du piratage des téléphones mobiles et la facilité à le faire, comme j'ai pu le constater sur YouTube. Coté sécurité, c'est zéro pointé.

[Pierre Louis Chevalier]

@ Pierre Louis Chevalier : je ne me suis pas encore penché sur cette question de l'accès et des moyens de paiements via l'internet. Ce qui me fait peur est de passer par un téléphone mobile pour m'identifier auprès de la banque alors que celui-ci n'est pas sécurisé, au moins sur les SMS et que n'importe qui duplique ma carte SIM peut obtenir ce code de quatre chiffres.
Et je ne parle même pas du piratage des téléphones mobiles et la facilité à le faire, comme j'ai pu le constater sur YouTube. Coté sécurité, c'est zéro pointé.

Je comprends tes craintes, du coup tu devrais prendre une clef de sécurité. Ma banque par exemple propose soit application mobile soit clef de sécurité.

[Artemus24]

J'ai déjà posé la question à mon conseiller, qui n'est pas du tout au fait de ces problèmes.
En dehors de lui, je ne sais pas à qui m'adresser. Je suis à la campagne, et mon agence est ouverte que deux matinées par semaine.
Selon lui, si je n'ai pas de téléphone mobile, je ne peux pas recevoir des SMS et je ne peux pas accéder à mon compte bancaire par l'internet.
Il parait qu'il existe un boitier dont je ne suis pas autorisé à utiliser car il est réservé à des professionnels.
De plus, ce boitier est payant, comme par hasard.

[LittleWhite]

Bonjour,

D'après moi, le boîtier était une fausse bonne solution. Je veux dire par là, dans certaines banque, le boîtier était proposé pour les clients n'ayant pas de téléphone portable. Maintenant, le boîtier disparaît (il n'est plus remplacé et la pile s'épuise). Pourquoi une fausse bonne solution, car : le boîtier n'est juste qu'un générateur de code temporaire, déblocable après l'insertion d'un code PIN (code numérique court). Mais cela veut aussi dire que : on aurait très bien pu utiliser une application de code temporaire (Google Authentificator, Microsoft Authentificator ou plus simplement FreeOTP+). La seule différence, c'est que le boîtier est pré-synchronisé en "usine" par la banque.
Bref, c'est une solution viable et la synchronisation devrait être réalisée en agence ou je ne sais où (j'ose croire que cela pourrait être synchronisé par la simple lecture d'un QR code sur une lettre). Et puis, j'ai parlé d'application Android, mais il doit bien y avoir des clients pour PC, ou si cela n'existe vraiment pas on pourrait utiliser un émulateur Android.

[Artemus24]

D'après moi, le boîtier était une fausse bonne solution.

C'est ce que je crois aussi.

Et puis, j'ai parlé d'application Android, mais il doit bien y avoir des clients pour PC, ou si cela n'existe vraiment pas on pourrait utiliser un émulateur Android.

Je ne vais pas créer une usine à gaz juste pour recevoir des SMS.

Je n'aborde cette question que sous l'angle de la consultation de mes comptes par l'internet, depuis chez moi.
Mais quand est-il des moyens de paiements ?
(pas uniquement via l'internet depuis chez moi, mais aussi en déplacement en France, en Europe ou hors d'Europe)
Et comment être certain que je ne me suis pas fait piraté ?

Dans cette approche, la banque se couvre de toute malversation mais quand est-il de l'usager ?