Les systèmes d’authentification multifacteur sont-ils tous sécurisés ? Comment pirater un système d’authentification multifacteur SMS pour seulement 16 dollars
La revue Vice, reconnue pour ses reportages extrêmes et le ton décalé de ses journalistes, a publié un article en mars dernier sur une expérience qui a provoqué un débat dans le monde de la cybersécurité : le journaliste Joseph Cox a payé un pirate informatique pour tenter de s’introduire sur ses comptes sans être en possession d’aucun de ses appareils, tels qu’un téléphone portable. Le pirate informatique n’a eu aucun mal pour pirater les comptes et cela ne lui a coûté que 16 dollars…
Le pirate, qui se nomme Lucky225, y est parvenu sans avoir piraté la carte SIM, qui est le moyen d’accès le plus utilisé dans ces cas-là. Il a au contraire exploité l’authentification multifacteur, qui était loin d’être assez sécurisée. Comment s’y est-il pris ? Il a simplement utilisé un outil conçu pour créer des campagnes publicitaires, nommé Sakari, qui permet aux entreprises d’envoyer des SMS en masse à des listes de numéros de téléphone, le tout à des fins commerciales. Lucky225 a envoyé à Sakari une lettre d’autorisation remplie de fausses données et a prétendu être le propriétaire du numéro de téléphone du journaliste. Les SMS envoyés à la victime de l’expérience ont par conséquent commencé à être détournés vers l’application et le journaliste ne les recevait plus sur son téléphone portable. Le pirate informatique est alors parvenu à accéder à la plupart des comptes en ligne de la victime : il lui a suffi de demander de nouveaux mots de passe et les SMS envoyés par les portails avec les nouveaux mots de passe étaient envoyés directement au pirate.
Cet incident témoigne de la vulnérabilité de certains de ces systèmes. Rappelons toutefois que tous les systèmes d’authentification multifacteur ne se valent pas, comme j’ai pu l’expliquer dans cet article paru dans Dark Reading.
Dans ce cas, Lucky225 a eu recours aux méthodes d’authentification multifacteur OTP (One Time Password) basées sur les SMS, qui sont toujours utilisées par de nombreuses entreprises ; ces méthodes donnent toutefois une fausse impression de sécurité aux utilisateurs. De plus, comme nous l’avons expliqué sur notre blog Secplicity, des études récentes révèlent qu’elles comportent de nombreux risques de vol ou de fraude à l’authentification et sont fortement déconseillées.
Quelles sont les méthodes sûres ?
Certaines autres méthodes permettent de limiter les risques, telles que les solutions d’authentification multifacteur AuthPoint de Watchguard. Ce service d’authentification mobile génère une clé cryptée unique, contient une horloge interne afin de garantir leur validité temporaire, et utilise un « ADN mobile » pour vérifier le téléphone de chaque utilisateur au moment de donner accès aux systèmes et aux applications : les pirates qui clonent l’appareil d’utilisateur et qui tentent d’accéder à un système protégé seront ainsi bloqués car l’ADN de l’appareil sera différent. L’application mobile propose en outre 3 types d’authentification.
- L’authentification « push » : authentification sécurisée permettant d’approuver d’un simple contact/en une étape. Elle permet de savoir qui tente de s’authentifier et depuis quel endroit ; elle permet de bloquer l’accès non autorisé aux ressources.
- L’authentification par QR code : l’appareil photo de votre appareil mobile est utilisé pour lire un QR code chiffré unique, avec une preuve qui n’est lisible qu’avec l’application. Pour terminer l’authentification, la réponse doit être saisie.
- Le mot de passe à usage unique (OTP) : un mot de passe dynamique à usage unique (OTP) est généré et saisi lors du login.
Toujours dans la gamme AuthPoint, WatchGuard propose une autre option : les tokens matériels. Ces dispositifs électroniques hermétiques génèrent des mots de passe uniques sécurisés toutes les 30 secondes. Les entreprises peuvent employer cette méthode en guise d’alternative aux tokens mobiles pour authentifier des ressources protégées.
Toutes ces solutions présentent en outre l’avantage pour les entreprises de pouvoir gérer les tokens, les autorisations et les logins de chaque utilisateur au travers d'un portail en ligne à partir de WatchGuard Cloud. Les entreprises disposent alors d’un rapport complet et détaillé sur les accès des utilisateurs et peuvent refuser l’accès en cas de risque pour la cybersécurité. Les entreprises peuvent ainsi limiter les risques posés par les situations créées par des authentifications multifacteur non sécurisées, tels que celui mis en évidence au sein de l’article publié par Vice.