Avant l’avènement de l’authentification à double facteur (2FA), seuls les mots de passe de l’utilisateur constituaient une barrière à l’accès à ces comptes et données, même les plus sensibles. Une vulnérabilité d’autant plus évidente dans la mesure où ces mots de passe restent malheureusement aujourd’hui encore généralement bien trop simples et réutilisés sur plusieurs plateformes avec un mélange entre usages personnels et professionnels.
Selon le Data Breach Report 2022, 82% des compromissions sont basées sur des techniques d’ingénierie sociale ou sur l’utilisation d’une vulnérabilité humaine. Pour faire face à ce fléau, le renforcement de l’étape d’authentification s’impose aujourd’hui comme une nécessité. Mais si les entreprises adoptent massivement la 2FA comme une bonne pratique de cybersécurité, cette méthode montre cependant certaines carences.
Les limites de l’authentification à double facteur
Au cours des dernières années, les cyber-criminels ont développé des techniques sophistiquées pour contourner l’authentification à double facteur. L’une des méthodes les plus fréquentes consiste pour un cyber-criminel à créer un site web malveillant à l’aide de kits de phishing prêts à l’emploi. Celui-ci utilise alors une page de connexion factice pour collecter les informations d’identification des utilisateurs, comme le code ou le cookie de session. Une méthode redoutable puisque la victime est redirigée vers le site légitime de manière transparente, sans se rendre compte de la supercherie.
D’autres techniques plus complexes sont également utilisées comme l’ingénierie sociale sophistiquée pour convaincre une victime de divulguer son code d’authentification à usage unique, à travers des techniques de deepvoice ou de réorientation d’appel téléphonique vers des numéros frauduleux.
Les cyber-criminels peuvent également contourner la double authentification par force brute, en essayant toutes les combinaisons possibles de code de sécurité, de manière automatisée. En pratique, ces attaques sont relativement rares car elles nécessitent du temps et sont rendues inefficaces par des règles de verrouillage des tentatives de connexion.
Encore plus rares mais tout aussi redoutables, les attaques Man-In-The-Middle mettent en œuvre des techniques sophistiquées pour intercepter le code 2FA en se plaçant au cœur des communications entre l’utilisateur et l’application. Les attaques de type SIM Swapping permettent par exemple de récupérer les SMS de confirmation de 2FA de la victime en ayant bénéficié frauduleusement de la portabilité du numéro de smartphone auprès de l’opérateur téléphonique de la victime. Autant d’alternatives au vol physique d’un ordinateur ou d’un téléphone portable.
En 2018, Amnesty International alertait déjà sur les faiblesses de la 2FA. Le service Amnesty Tech avait investigué sur une vaste campagne de phishing sophistiquée ciblant les journalistes et défenseurs des droits de l’Homme au Moyen-Orient et en Afrique du Nord. Les cyber-criminels avaient alors recréé des pages d’authentification de Google et de Yahoo. Une fois que l’utilisateur renseignait son adresse e-mail, l’interface malveillante lui demandait le code d’authentification à 6 chiffres qui venait de lui être envoyé par sms. Connaissant désormais les identifiants et les deux facteurs de vérification, les attaquants avaient alors accès au compte de messagerie de leur victime.
L’authentification à double facteur est-elle encore fiable ?
Dans les faits, la double authentification est infiniment plus fiable qu’un simple mot de passe. Mais pour faire face à un possible contournement, il est impératif de la renforcer par des mesures supplémentaires.
Pour durcir la sécurité des accès, il est possible de multiplier les facteurs de vérification en adoptant l’authentification multi-facteurs (MFA). L’authentification multi-facteurs requiert l’utilisation de plusieurs éléments de preuves pour permettre l’accès à l’entité (une personne ou une machine) qui se connecte.
Classés en quatre catégories dans les recommandations officielles de l’ANSSI, ces facteurs peuvent être de différentes natures comme :
– Les facteurs connus, comme un mot de passe ou une question de sécurité ;
– Les facteurs possédés, c’est-à-dire un jeton de sécurité physique (une carte à puce, une clé SecurID) ou numérique (un téléphone, une application mobile) qui génère un code unique et temporaire (OTP) ;
– Les facteurs innés, comme des éléments biométriques à savoir l’ADN, les empreintes digitales, l’empreinte rétinienne, la reconnaissance faciale, la reconnaissance vocale ;
– Les facteurs produits ou générés, comme la localisation, les actions et gestes, l’analyse comportementale.
Pour toujours plus de sécurité, plusieurs solutions ont déjà émergé. Comme l’authentification out-of-band (OOBA) qui demande une vérification de l’utilisateur via deux canaux de communication différents. Dans ce cas, un facteur pourrait être par exemple communiqué via un réseau Ethernet tandis qu’un autre transiterait par le réseau 4G. Une séparation des canaux pour une sécurité renforcée. L’utilisation d’une technologie de deep voice detection est une autre piste, qui permet, elle, de détecter les voix générées par IA. Mais de telles techniques restent encore marginales, dues à leur coût de mise en œuvre.
Il est donc important de prendre conscience que la 2FA et la MFA, dans une moindre mesure, peuvent s’avérer vulnérables face à des cyberattaques très sophistiquées. Pour autant, ajouter un second facteur d’authentification – même faible – ne rend pas plus vulnérable que de n’avoir qu’un seul facteur. Ces méthodes d’authentification ne sont donc pas devenues désuètes puisqu’elles permettent de stopper la majorité des cyberattaques communément rencontrées.
La bonne implémentation de l’authentification à double facteur reste un facteur clé pour s’assurer d’un niveau de sécurité suffisant des accès dans l’entreprise. Néanmoins, l’adoption d’un troisième, voire d’un quatrième facteur d’authentification à destination d’un public ciblé (administrateur système et autres VIP de l’entreprise) et la multiplication des canaux de communication peuvent permettre de réduire encore les vulnérabilités de l’authentification. Comme souvent, tout est ici une question de gestion des risques et du niveau d’investissement pour le réduire.
____________________________
Par Sébastien Viou, Directeur Cybersécurité & Management Produits chez Stormshield
puis