CLX Communications publ : La technologie d’authentification à deux facteurs par message de texte reste la meilleure sécurité pour les services en ligne

Stimulés par le cloud, le commerce électronique et les services personnels en ligne sont omniprésents. Pour chacune de nos activités en ligne, une inscription et une authentification sont nécessaires. Notre identité (sous la forme d'un identifiant ou d'une adresse e-mail et d'un mot de passe) intervient en permanence comme porte d'accès vers toutes sortes de fonctions toujours plus nombreuses. Des applications commerciales aux services plus critiques tels que la banque en ligne, tous les services sont logés à la même enseigne.

Une étude récente de Centrify révèle que plus d'un quart d'entre nous saisit un mot de passe en ligne plus de 10 fois par jour, soit 3500 à 4000 fois par an. En fait, 42% et 37% des personnes interrogées au Royaume-Uni et aux États-Unis respectivement affirment créer plus de 50 nouveaux profils chaque année.

Dans ce contexte, il est évident que la question de l'identité représente un défi. Pour des raisons de simplicité, les utilisateurs ont tendance à utiliser le même identifiant et le même mot de passe, ce qui facilite aux pirates l'accès à de nombreux comptes avec un seul acte de piratage.

Il existe manifestement un besoin urgent de renforcer la sécurité ou d'améliorer l'authentification dans une myriade de services. Combiner une information (par ex. nom d'utilisateur/mot de passe) et un objet (téléphone, support physique) est bien plus sûr car cela rend une utilisation à distance impossible. Pendant des années, l'authentification à deux facteurs (2FA) était considérée comme la réponse au casse-tête de l'authentification en ligne.

Cette solution nécessite l'utilisation d'une information (mot de passe) et d'un objet (par ex. téléphone portable). Une fois le mot de passe saisi, un second code (généralement randomisé) est envoyé au téléphone mobile de l'utilisateur par message de texte. C'est uniquement après la saisie de ce second code que l'utilisateur peut accéder au service.

gmail de Google, Linkedin, PayPal, Evernote, DropBox et de nombreux autres services utilisent l'authentification à deux facteurs comme fonction standard.

Cette deuxième protection est essentielle. Pour cela, l'envoi par SMS d'un code à utilisation unique semblait être la solution. En effet, près de 20% de tous les messages A2P (application vers personne) sur le réseau CLS concernent l'authentification. Les banques, les réseaux sociaux et d'autres services ont été tout à fait convaincus par l'efficacité du processus.

Pourtant, en 2016, l'authentification 2FA par message de texte s'est avérée faillible. Le National Institute of Science and Technology (NIST) aux États-Unis a signalé des failles dans le système d'authentification 2FA par message de texte et annoncé son intention d'analyser ses risques, avec la possibilité de désapprouver l'utilisation du message de texte dans les futurs standards.

Concrètement, le NSIT craignait que les pirates n'utilisent les failles du protocole SS7 dont se servent les opérateurs pour activer le roaming sur leur réseau. Dans certains cas très complexes, les pirates peuvent donner l'impression à un réseau mobile qu'un téléphone est sur un autre réseau, ce qui permet une interception du message de texte 2FA.

En théorie, ce scénario est possible, mais si on y regarde de plus près, il est évident que ce risque a été fortement exagéré. En réalité, les seules personnes à même d'exploiter régulièrement la faille du protocole SS7 sur une grande échelle seraient des employés isolés au sein d'un opérateur qui exploite un réseau GSM, comme si un employé de Facebook accédait à votre compte.

De nombreux critiques de l'utilisation du message de texte dans la technologie 2FA ignorent les vraies faiblesses du système SS7 et citent comme contre-exemple des cas de piratage de carte SIM où l'attaquant convainc un opérateur de fournir une carte SIM de remplacement ou de transférer le numéro à un autre opérateur comme preuve que le message de texte ne devrait pas être utilisé pour l'authentification 2FA. Même si ces prouesses techniques existent bel et bien, elles ne sont pas dues à des faiblesses de la solution par message de texte mais à des processus commerciaux et à des protocoles déficitaires. Les opérateurs ne sont pas les seules sociétés qui souffrent de ces faiblesses. Il existe de nombreux cas où l'ingénierie sociale est utilisée pour accéder à des registres de nom, des fournisseurs d'e-mail et des comptes de réseaux sociaux, pour ne citer que quelques exemples.

Cette opposition au message de texte ignore le fait que cette option est généralement sûre et, chose très importante, que les utilisateurs y sont habitués en raison de son caractère pratique et de sa très grande disponibilité.

De plus, il est important d'être réaliste et de proposer la meilleure sécurité possible que les personnes accepteront d'adopter. En d'autres termes, il faut toujours trouver un équilibre entre la sécurité et la facilité d'utilisation. De ce point de vue, pour une grande majorité des services en ligne, l'authentification 2FA par message de texte reste la meilleure option. Quand on se penche sur les alternatives réalistes au message de texte comme les applications Time-based One-time Password (TOTP), force est de constater que l'utilisateur non expert n'acceptera pas de télécharger une application différente pour chaque service en ligne. Cette alternative serait un pas en arrière par rapport au système avec identifiant et mot de passe.

Plutôt que de désapprouver le message de texte comme standard de sécurité, la solution devrait consister à remédier aux failles du SS7 plutôt que d'empêcher l'utilisation du message de texte pour l'authentification 2FA. C'est ce que font de nombreux opérateurs lorsqu'ils installent des pare-feux SS7 pour diminuer ce risque et d'autres risques tels que le grey routing.

S'il est toujours possible de combler les lacunes d'un système, il est bien plus difficile de diminuer la tendance des gens à tomber dans le panneau. Une chose est sûre : l'origine du problème est l'ingénierie sociale, pas le piratage technique. Ce sont des criminels qui persuadent un employé d'un centre d'appel d'un réseau de désactiver ou de transférer la carte SIM d'origine, et d'en fournir une nouvelle ; ou des auteurs d'actes de phishing qui envoient un canular sur un téléphone ou par e-mail dans le but d'amener le consommateur à donner ses données personnelles telles que les coordonnées bancaires ou les mots de passe de services en ligne en se faisant passer pour une marque familière au consommateur (comme sa banque). Par exemple, la dernière étude de consommation MEF réalisée par CLX a révélé que 33% des utilisateurs de téléphone portable ont reçu un message de phishing au cours de l'année dernière. Les opérateurs devront renforcer les contrôles pour mettre fin à ces pratiques, lesquelles vont bien au-delà des messages de texte et de la technologie 2FA.

L'authentification à deux facteurs est en fait la solution qui permet de diminuer ces attaques car l'accès est bien plus complexe que le simple fait de convaincre un utilisateur de donner son identifiant ou son mot de passe.

Auteur: Rob Malcolm, VP Marketing & Online Sales at CLX Communications