1 points par GN⁺ 2024-02-07 | 1 commentaires | Partager sur WhatsApp
  • Une attaque par SIM swap consiste à pousser l’opérateur mobile à transférer le numéro de téléphone vers l’appareil de l’attaquant, puis à intercepter les codes de connexion par SMS ou de réinitialisation de mot de passe ; le cœur du débat est le choix des entreprises d’intégrer ce canal vulnérable dans leurs flux d’authentification
  • Les SMS sont transmis en clair et ne constituent pas un protocole de sécurité : les utiliser pour la réinitialisation de mot de passe, la récupération de compte, l’onboarding ou la connexion revient à faire basculer la sécurité numérique de l’utilisateur en même temps que le transfert de son numéro de téléphone
  • Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, Bank of America et de nombreux autres services utilisent, ou ont utilisé, les SMS pour la connexion, la récupération de compte ou la 2FA ; des fournisseurs cloud comme Azure, AWS, Twilio et Google proposent des services de codes à usage unique par SMS
  • De meilleures alternatives sont la réinitialisation par e-mail et les applications d’authentification comme Authy ou Google Authenticator ; même si la 2FA par SMS peut être utilisée de façon limitée aux côtés d’options plus robustes, elle ne devrait pas servir de fallback pour la récupération de compte
  • Depuis 2024, la compromission de longue durée de grands opérateurs américains comme AT&T, T-Mobile et Verizon par l’attaque Salt Typhoon fragilise encore davantage l’idée que les SMS apportent une sécurité réelle dans les flux de connexion

Comment l’authentification par SMS amplifie les attaques par SIM swap

  • Une attaque par SIM swap consiste pour l’attaquant à demander à l’opérateur de transférer le numéro de téléphone de la victime vers son propre téléphone
    • Aux États-Unis, les règles de portabilité des numéros visant à favoriser la concurrence obligent les opérateurs à faciliter ces transferts
    • Une fois le numéro transféré, l’attaquant peut recevoir les informations de connexion par SMS ou les codes de réinitialisation de mot de passe envoyés par les entreprises, puis accéder aux comptes
  • Il est légitime de critiquer la faiblesse de la protection des numéros par les opérateurs, mais de nombreuses entreprises ont elles aussi bâti des flux d’authentification critiques sur ce maillon fragile
  • L’idée centrale est la suivante : « le fait que quelqu’un ait convaincu T-Mobile, AT&T, Verizon ou un autre opérateur de transférer mon numéro ne devrait pas entraîner le transfert de toute ma sécurité numérique »

Le SMS n’a pas été conçu comme moyen d’authentification

  • Le SMS est un message en clair non chiffré, qui peut être lu ou intercepté en chemin comme une carte postale
  • Utiliser le SMS, qui n’est pas un protocole de sécurité, pour la réinitialisation de mot de passe, la récupération de compte, l’onboarding ou la connexion est structurellement inadapté
  • La 2FA par SMS n’est considérée que comme le « moins mauvais » des scénarios faibles lorsqu’elle est proposée aux côtés d’options de 2FA plus solides
    • Les principales critiques visent la réinitialisation de mot de passe, l’onboarding utilisateur et la récupération de compte par SMS
  • De meilleurs choix sont la réinitialisation de mot de passe par e-mail et les applications d’authentification comme Authy ou Google Authenticator
  • Si le SMS reste un fallback de récupération de compte, même une implémentation plus robuste de la 2FA peut être affaiblie

Comment les entreprises ont intégré les SMS dans leurs flux d’authentification

  • Apple a annoncé en 2018 sur iPhone une fonction de remplissage automatique des codes SMS, renforçant les usages du SMS pour la réinitialisation de mot de passe et la connexion aux comptes
    • Certains scénarios de réinitialisation de compte Apple peuvent utiliser les SMS
    • L’authentification en deux étapes des comptes développeur Apple utilise aussi les SMS ou les appels téléphoniques
    • L’implémentation native de la 2FA par Apple est jugée affaiblie par le fallback SMS
  • Google a proposé en 2019, via SMS autofill pour Android, le remplissage automatique des codes à usage unique
  • Les fournisseurs cloud et les acteurs de l’infrastructure de messagerie ont structuré une industrie des codes SMS
    • Azure, AWS, Twilio, Google et d’autres proposent des services liés aux codes à usage unique par SMS
    • Ils sont critiqués pour vendre comme solution de sécurité une technologie fondamentalement cassée
  • Les services financiers et de paiement utilisent aussi largement la réinitialisation par SMS, la connexion par SMS, la 2FA par SMS et la récupération de compte par SMS
    • Wells Fargo, Cash App, Robinhood, Schwab, PayPal et Bank of America sont cités comme exemples
    • Ces options SMS sont proposées comme moyens de « vérification d’identité », mais leur structure favorise aussi les attaquants par SIM swap
  • Dans les services de commande de repas, les réseaux sociaux, les services de stockage de données et bien d’autres, le SMS est souvent utilisé comme moyen par défaut de réinitialisation de compte
    • Même lorsqu’une désactivation existe, comme chez Dropbox, l’utilisateur doit opter explicitement pour chaque service
    • De nombreux services ne proposent pas d’opt-out

La responsabilité de conception de la sécurité passe avant la commodité

  • Les utilisateurs peuvent ne pas comprendre la vulnérabilité de la réinitialisation par SMS, et ce ne devrait pas être à eux d’en juger
  • Le SMS peut être préféré par les utilisateurs car il est plus pratique que la réinitialisation par e-mail ou les applications 2FA comme Authy
  • Le remplissage automatique des SMS sur iPhone est parfois salué comme une bonne fonction d’iOS, mais la commodité ne garantit pas la sécurité
  • La responsabilité d’évaluer et de concevoir des systèmes de sécurité sûrs incombe aux entreprises technologiques
  • Affirmer donner la priorité à la sécurité des clients tout en maintenant l’authentification par SMS revient à les laisser exposés

Les améliorations de protocoles et la régulation ne suffisent pas

  • Les efforts de renforcement des protocoles téléphoniques comme SHAKEN/STIR ne sont pas allés jusqu’à une adoption complète ni à une application stricte, et justifient difficilement de continuer à envoyer des codes de réinitialisation de mot de passe par SMS
  • Même avec des protocoles téléphoniques plus robustes, les attaques par SIM swap elles-mêmes ne seraient pas empêchées
  • L’initiative européenne Sim Verify est citée comme une piste permettant aux entreprises dépendantes des SMS de vérifier si une SIM a été récemment portée
  • Il est incertain qu’un tel changement soit déployé prochainement aux États-Unis, et l’expérience du déploiement de SHAKEN/STIR montre que les évolutions peuvent prendre longtemps
  • Un commentaire sur Hacker News mentionne également que le NIST avait publié, en octobre 2023, des recommandations fortes contre l’utilisation du SMS ou des appels téléphoniques pour identifier les utilisateurs

Depuis 2024, le risque lié aux opérateurs s’est aggravé

  • La mise à jour indique que de grands opérateurs américains comme AT&T, T-Mobile et Verizon ont été compromis pendant plusieurs mois par l’attaque Salt Typhoon
  • Ces opérateurs acheminent des SMS non chiffrés utilisés dans d’innombrables flux de connexion, de réactivation de compte et de réinitialisation de mot de passe
  • Au vu à la fois des compromissions d’opérateurs américains et de la persistance des attaques par SIM swap, il faut abandonner l’idée que le SMS apporte une sécurité réelle dans quelque partie que ce soit des flux de connexion
  • Google est cité comme un exemple ayant commencé à reconnaître, de façon limitée, les faiblesses du SMS et à s’en éloigner dans Gmail
  • Chase, Block/Square, Apple et d’autres restent des exemples de services qui dépendent encore du SMS dans une partie de leurs processus de connexion

Exemples de préjudices utilisateurs cités dans les commentaires Hacker News

  • Voyager dans une zone où l’on ne reçoit pas de SMS peut bloquer l’accès aux comptes
  • Des banques comme Bank of America sont citées comme problématiques lorsqu’elles exigent d’activer la 2FA par SMS pour pouvoir activer n’importe quelle forme de 2FA
  • D’autres exemples mentionnent des utilisateurs bloqués hors de Viber après un changement de numéro, ou Citibank exigeant une authentification par SMS pour modifier le numéro de téléphone du compte
  • Lorsque les opérateurs facturent l’itinérance SMS, les utilisateurs paient pour un moyen de sécurité vulnérable
  • Si une SIM est bloquée faute de recharge d’un solde prépayé, l’utilisateur ne peut plus recevoir de SMS, ce qui pose aussi problème pour accéder aux services qui les imposent
  • Un commentateur ayant travaillé dans le secteur bancaire européen estime que les SMS, plus coûteux qu’aux États-Unis, ne s’y sont pas autant imposés, et que la 2FA par SMS est vulnérable à la fois aux compromissions de sécurité et au blocage des utilisateurs

Pourquoi il faut sortir de l’identification fondée sur le numéro de téléphone

  • À l’ère des deepfakes, des services de vérification d’identité robustes deviennent plus importants
  • Les services de fausses pièces d’identité générées par IA se démocratisent, et l’identification par empreinte vocale utilisée par des sociétés financières et des FAI pourrait perdre son utilité face à l’audio deepfake et à des attaquants déterminés
  • Il faut s’éloigner des moyens de vérification d’identité non chiffrés et vulnérables au SIM swap comme le SMS
  • Les ransomwares constituent eux aussi un grand problème pour l’IT, et les attaques par SIM swap sont citées comme un vecteur important de compromission des réseaux d’entreprise
  • Le lien avancé est qu’une réduction des connexions par SMS pourrait atténuer une partie du problème des ransomwares

1 commentaires

 
GN⁺ 2024-02-07
Avis sur Hacker News
  • Avant que les cochonneries par SMS ne nous tombent dessus, les codes TOTP étaient saisis automatiquement par 1Password, sur n’importe quel appareil et depuis n’importe où.
    Maintenant, il faut sans cesse sortir son téléphone, et même si l’on n’a pas besoin de ce numéro, il faut payer le roaming international ou configurer le transfert de SMS pour voyager. C’est beau, la sécurité.
    Si l’argument est qu’un numéro de téléphone peut toujours être rattaché à une identité réelle, alors il suffit de lier une appli d’authentification au SMS, au lieu de me forcer à diffuser mon numéro à toutes les entreprises du monde.

    • Le problème, c’est qu’avec une appli d’authentification, on n’obtient pas un identifiant inter-sites et inter-apps relativement stable que l’on peut revendre pour quelques centimes publicitaires.
    • Si l’on met aussi un générateur de codes TOTP dans le gestionnaire de mots de passe, est-ce que cela ne ramène pas le nombre de facteurs d’authentification à un seul ?
    • Quand on change d’opérateur mobile, il est difficile de croire qu’on pourra garder le même numéro ; la portabilité entre MVNO a aussi été irrégulière, et comme je voyage à l’étranger, j’utilise un numéro Google Voice partout.
      Mais des entreprises stupides exigent un numéro de téléphone tout en bloquant l’usage de Google Voice.
    • J’aimerais qu’il existe un service d’authentification et d’identité où l’on puisse choisir soi-même le niveau de difficulté de récupération.
      Pouvoir présenter une pièce d’identité délivrée par l’État, vérifier une empreinte digitale, voire effectuer un vrai test ADN rapide, selon le coût choisi, et désigner aussi des bénéficiaires du compte en cas de décès ou d’incapacité.
      La méthode actuelle, qui repose sur l’e-mail, un compte Google ou le SMS pour la vérification ultime de l’identité, est absurde. Les trois sont soit peu sûrs, soit exposés à un risque de blocage arbitraire, soit difficiles à récupérer, soit vulnérables au spam parce qu’ils ne vérifient pas l’identité réelle.
    • En Inde, si l’on ne recharge pas tous les mois, la carte SIM cesse de fonctionner ; au bout de 2 mois, le numéro est bloqué ; au bout de 90 jours, il est résilié puis réattribué.
      L’objection habituelle consiste à dire que WhatsApp bloque la réinitialisation du mot de passe, etc., si le numéro n’a pas été utilisé pendant 90 jours, donc que ce n’est pas un problème.
      Puis on enchaîne en disant qu’il suffit ensuite de demander par écrit à sa banque de changer le numéro de mobile, donc que tout va bien.
  • Utiliser le SMS pour des actions importantes sur un compte est épouvantable.

    1. Un téléphone peut être perdu ou volé.
    2. Les gens peuvent partir vivre dans un autre pays.
    3. Il existe des attaques par SMS.
    4. Les numéros de téléphone sont réattribués.
    5. L’utilisateur doit conserver un forfait mobile payant.
      Par pitié, il ne faut pas lier les comptes à un numéro de téléphone.
      Modification : j’ai changé la première ligne pour préciser que je ne parle pas des notifications ponctuelles, etc.
      1. Par définition, si l’appareil de second facteur est volé, c’est de toute façon fichu. Avec Authenticator aussi, c’est terminé. Le SMS permet au moins de contacter l’opérateur pour récupérer le même numéro.
      2. Il y a le roaming. À l’étranger, la réception de SMS est souvent gratuite.
      3. Exact.
      4. Exact, mais il est facile de garder la ligne active si l’on maintient ne serait-ce que les données.
      5. Exact, mais avec une bonne configuration, cela ne coûte presque rien. Je garde des cartes SIM européennes et thaïlandaises actives pour moins de 5 dollars par an, et mon numéro Google Voice est gratuit depuis 2009.
        Je suis d’accord pour dire qu’il vaut mieux utiliser Authenticator et les Passkeys, mais il ne faut pas non plus nier les avantages du SMS.
    • Je pense que le fait que le téléphone devienne l’identité personnelle est un très gros problème.
      Je vois souvent des couples utiliser le téléphone de l’autre et connaître le mot de passe, mais je ne sais pas si je pourrais faire confiance à quelqu’un à ce point. Je ne pense même pas que je donnerais mon mot de passe à ma propre mère, alors qu’elle ne m’a jamais donné de raison de ne pas lui faire confiance.
      Le pire, c’est que ce n’est pas un choix. Les services se mettent tout simplement, du jour au lendemain, à utiliser le SMS comme deuxième facteur d’authentification.
      Je ne sais pas ce qu’il faut faire si l’on change de numéro. Si je ne contrôle plus l’ancien numéro et que je ne peux plus accéder à mon compte, comment le remplacer par le nouveau ? Et si un compte que je n’avais même pas pensé devoir mettre à jour exige soudain une authentification à deux facteurs ? Dans l’ensemble, c’est vraiment un mauvais système.
    • C’est bien qu’un fournisseur d’accès Internet ou une compagnie d’électricité permette de recevoir optionnellement des SMS d’alerte de coupure et les mette à jour régulièrement. Tant qu’on peut arrêter avec STOP, ça me va.
      Pendant deux semaines de camping, une violente tempête est passée dans mon État d’origine et l’électricité a été coupée pendant 5 jours. Sans l’alerte SMS, je ne l’aurais pas su, et j’ai pu vider immédiatement le réfrigérateur et le congélateur à mon retour.
    • À mon avis, c’est acceptable si l’adresse e-mail est toujours collectée.
      Même si le téléphone est compromis, l’e-mail reste disponible.
      Du point de vue de l’utilisateur final, il y a aussi une vraie facilité d’usage. Même si ce problème touche 1 % des gens, cela peut ne pas poser problème à des milliards d’autres. C’est bon marché et pratique. Le téléphone reçoit le message et le remplit automatiquement.
      Il n’est pas nécessaire de changer d’application pour vérifier son e-mail. Tant que l’e-mail n’est pas compromis, le compte est toujours récupérable. Si l’on perd son e-mail, c’est dommage, mais de toute façon ce genre de chose arrive, et c’est pour cela qu’il faut changer régulièrement ses mots de passe et mettre en place l’authentification multifactorielle.
      La sécurité ne pourra jamais être à 100 %. C’est illusoire. Elle doit être suffisamment pratique et suffisamment sûre pour fonctionner pour le plus grand nombre possible.
      Presque tout le monde en dehors de HN s’en fiche et ne comprend pas. Et ce n’est pas nécessaire. Ils utilisent l’appli pour faire ce qu’ils ont à faire, puis passent à autre chose.
      Le backend, les geeks s’en occupent.
    • J’ai toujours trouvé inquiétant que Revolut impose l’association à un numéro de téléphone.
  • En Argentine, les utilisateurs de Movistar ont eu un gros problème lié aux SMS Payoneer. J’ai essayé de le poster sur HN, mais c’est passé inaperçu
    Voici, en gros, la traduction d’un tweet éclairant en espagnol [1] :
    « Le mystère Payoneer est résolu.
    #PayoneerHacked

    • L’attaquant a compromis la passerelle SMS utilisée pour envoyer l’authentification à deux facteurs aux clients Movistar. Les plateformes s’en servent pour économiser des coûts
    • L’attaquant voyait les messages de double authentification qui transitaient de Payoneer vers les numéros Movistar, mais pour changer le mot de passe et effectuer des transactions, il lui fallait connaître l’adresse e-mail des utilisateurs Payoneer
    • Il a donc créé un site de phishing pour découvrir l’e-mail associé à chaque numéro de téléphone, et n’y récupérait que l’e-mail. Avec e-mail + numéro de téléphone + accès en temps réel à la 2FA via la passerelle SMS compromise, il pouvait changer le mot de passe, entrer dans le compte et transférer de l’argent. Il continuait en effet à lire les codes 2FA arrivant sur les mobiles Movistar
    • Les victimes ont donc vu, en pleine nuit, plusieurs vrais SMS de 2FA arriver, pendant que leurs comptes étaient vidés
    • Même si des clients Payoneer étaient tombés dans le phishing, en temps normal seule une 2FA aurait été compromise, pas tout ce qu’il fallait pour se connecter, ajouter un compte et transférer de l’argent. Cette condition nécessaire montre qu’il y a bien eu compromission de la passerelle SMS
    • Les victimes ont perdu de l’argent parce que le dernier maillon de la pile de sécurité a été compromis
      Soyez prudents. Facebook, Twitter, etc. partagent aussi les mêmes passerelles pour économiser sur les coûts des SMS
      Je laisse une capture d’écran des SMS reçus par une victime à l’aube. La victime n’aurait pas pu les partager dans un quelconque phishing, et ces SMS étaient nécessaires pour vider le compte
      Quoi que vous lisiez dans la presse… il y a beaucoup de fruits, une grosse salade, mais peu de sauce. La source est ici
      Merci à toutes les personnes qui ont aidé »
      [1] https://twitter.com/julitolopez/status/1748440685743587811
    • Le plus fou, c’est que Payoneer permettait de réinitialiser le mot de passe du compte uniquement avec le code de réinitialisation envoyé par SMS, sans avoir à prouver la possession de l’adresse e-mail
  • Il est dit que « [les clients] trouvent [la réinitialisation par SMS] plus pratique que la réinitialisation par e-mail », mais personnellement, ça m’agace chaque fois que je dois me connecter à mon compte Google via une vérification par téléphone
    Je dois me lever de mon bureau pour chercher mon téléphone, qui est parfois dans une autre pièce. Tout ça pour recevoir un appel ou un message contenant un code
    En comparaison, TOTP est bien plus pratique. Comme je stocke les codes dans KeePassXC, je n’ai pas besoin de me lever de mon bureau

    • En cliquant sur le lien « Essayer une autre méthode », on peut utiliser un code TOTP
      Google appelle cette option « Obtenir un code de validation dans l’application Google Authenticator », même si l’on n’a jamais utilisé Authenticator
    • Dans l’écosystème Apple, les SMS sont synchronisés sur le Mac, Safari détecte le code et le saisit automatiquement dans la page web, puis supprime même automatiquement le SMS une fois terminé. Difficile de faire plus fluide
    • Il suffit de créer une passkey sur chaque appareil
      https://www.google.com/account/about/passkeys/
      https://blog.google/technology/safety-security/passkeys-defa...
      Sites compatibles avec les passkeys : https://passkeys.directory/
  • C’est aussi vraiment pénible quand on perd son numéro de téléphone
    Je n’arrive plus à me connecter à mon compte Google principal depuis des années. J’ai le nom d’utilisateur, le mot de passe, l’adresse e-mail de récupération et tous les e-mails me sont transférés, mais comme je n’ai plus le numéro de téléphone lié au compte, je suis clairement traité comme un intrus

    • Google est vraiment lamentable sur ce point. Même l’adresse e-mail de récupération n’est pas correctement utilisée
      La seule solution est de revenir sur une plage d’IP qui ressemble à l’emplacement « domicile » d’origine et de prier pour que ça marche. J’aurais beaucoup de choses à dire à la personne chez Google qui a pensé que refuser l’accès ou la récupération d’un compte était une bonne idée
    • C’est pareil quand on voyage. Il m’est déjà arrivé d’être déconnecté de mon compte à l’étranger et de ne pas avoir d’accès SNS
    • Beaucoup de gens disent que même si l’on utilise un numéro de téléphone, on peut garder d’autres méthodes en secours, donc que ce n’est pas grave, mais j’ai lu pas mal d’histoires où Google exigeait toutes les informations dont il disposait
    • L’UE va disposer d’un portefeuille d’identité numérique intégré. Il existe déjà aussi des signatures électroniques qualifiées
      Dans mon pays, la carte d’identité contient une puce utilisant la cryptographie à clé publique. Si Google permettait de lier définitivement un compte Google à une identité nationale, cela résoudrait le problème, au moins pour les résidents de l’UE
      On pourrait alors utiliser une seule YubiKey sans craindre de la perdre, et même si quelqu’un la volait, on pourrait récupérer le compte
    • Je suis convaincu que c’est un bug. S’il y a une adresse e-mail de récupération, elle devrait supprimer la nécessité de l’authentification par SMS
      Mais Google n’a ni helpdesk, ni moyen de signaler un bug. Google devrait avoir honte
  • Ce que je déteste le plus, c’est quand des entreprises insistent pour dire que mon numéro Google Voice « ne peut pas être utilisé pour l’authentification », ou plus frontalement que ce n’est « pas un numéro de téléphone/mobile valide »
    Certaines entreprises m’ont d’abord autorisé à m’inscrire avec ce numéro, puis ont changé leur politique à un moment donné après l’inscription. En général, on ne s’en rend compte qu’une fois bloqué hors de son compte
    Heureusement, il s’agissait surtout d’apps de magasins ou de services de paiement que je peux simplement éviter à l’avenir. Il est clair qu’ils n’accordent pas de valeur à mes transactions. Mais je crains qu’un jour ma banque fasse pareil et me verrouille l’accès à mon compte

    • La raison pour laquelle l’aspiration des numéros de téléphone des utilisateurs à des fins lucratives est si répandue est simple
      Tout le monde a un mobile, la plupart des gens changent rarement de numéro, et beaucoup donnent leur numéro de téléphone plus facilement que leur numéro de sécurité sociale
      Ils ne s’intéressent pas à la sécurité du compte ni au fait que ce soit un numéro valide contrôlé par l’utilisateur. Ils veulent seulement un moyen d’identifier l’utilisateur de manière unique, avec un numéro qui figure déjà dans les bases de données des entreprises d’adtech qui paient le plus cher les données utilisateur
    • D’après mon expérience avec Google Voice, le fait de ne pas autoriser Google Voice est plutôt un signal positif qui peut aider les gens
      J’ai écrit un peu, dans un autre commentaire de ce fil, pourquoi il ne faut pas utiliser Google Voice : https://news.ycombinator.com/item?id=39270503
      Mon expérience ne s’applique pas forcément à tout le monde, mais je pense qu’il reste risqué de dépendre de Google Voice « gratuit »
    • Viber m’a fait ça. Mon compte Viber existait depuis 2012, et je ne l’ai découvert qu’au moment de changer de téléphone
  • Pour apporter un contre-argument, la connexion par SMS et la récupération de compte offrent une bonne expérience utilisateur, et les opérateurs télécoms doivent globalement élever leur niveau

    • Absolument pas, c’est vraiment pénible à gérer
      Si j’utilise un ordinateur de bureau, on ne devrait pas m’envoyer un code sur mon téléphone à chaque connexion sous prétexte qu’on ne veut pas prendre en charge FIDO ou une vraie autre authentification à deux facteurs
      Mon ordinateur portable a un lecteur d’empreintes, mon téléphone a Face ID, et j’ai une YubiKey en USB. Il suffit d’utiliser ça
    • J’ai écrit il y a 11 jours un commentaire sur le SMS comme deuxième facteur, qui s’applique aussi au cas général : https://news.ycombinator.com/item?id=39130032
      L’e-mail est clairement meilleur. La raison principale est que le fournisseur d’e-mail est soit sous le contrôle de l’utilisateur, soit, comme pour les domaines personnalisés de geeks comme nous, ou Google, une grande entité impersonnelle. Ce n’est pas une cible aussi facile à faire modifier par un attaquant qu’un fournisseur de numéro de téléphone
      Je travaille chez un fournisseur d’identité, et pas mal de gens demandent la prise en charge de cette fonctionnalité, surtout du point de vue de l’expérience utilisateur
      Comme dit plus haut, les fournisseurs de numéros de téléphone devraient aussi être tenus responsables. Si la tendance à imposer le numéro de téléphone comme identifiant global hors ligne et en ligne continue, les opérateurs devraient exiger davantage de conditions pour un changement de numéro de téléphone
    • Pour citer l’article :
      « Pendant des années, les gens du secteur ont toujours dit quelque chose comme : “Proposer une authentification par SMS améliore globalement la sécurité des clients. Il y a des inconvénients, mais c’est plus pratique que d’autres méthodes, par exemple une vérification par e-mail, bien plus sûre.” À cela, je réponds : “Qui êtes-vous pour retirer de la sécurité aux clients ?” »
      Et aussi :
      « Il est compréhensible qu’une grande partie de la colère liée aux attaques par SIM swap se soit dirigée vers les opérateurs. En réalité, les opérateurs sécurisent très mal les numéros de téléphone de leurs clients, et ils peuvent être responsables de cette faille. Mais le point essentiel est le suivant : la sécurité des opérateurs a toujours été mauvaise, et elle a même été dégradée en partie par le cadre légal, mais d’autres entreprises ont tout de même choisi de construire des systèmes critiques sur ce maillon faible. »
      Et encore :
      « Le SMS est mauvais en matière de sécurité, mais il permet de gérer presque sans friction l’inscription de nouveaux clients, par exemple l’onboarding d’Uber, et les réinitialisations de mot de passe. Les entreprises ont eu le sentiment de devoir s’aligner sur leurs concurrents qui avaient adopté cette technique. »
      Cette dernière partie a malheureusement été écrasée lors d’une mise à jour de l’article WordPress, et je l’ai rajoutée
    • Envoyer un SMS à un numéro qu’on ne possède plus, c’est vraiment une excellente expérience utilisateur
    • Tout le monde n’a pas de téléphone mobile, n’en veut pas forcément un, et ne souhaite pas non plus remettre le contrôle de sa vie à un opérateur mobile
  • Je suis d’accord pour dire que le SMS est un facteur d’authentification multiple épouvantable
    Mais cela s’est répandu parce que demander aux gens d’installer une application est une contrainte énorme. Et en plus, les gens ne sauvegardent jamais leurs codes de récupération
    On peut utiliser Authy et sauvegarder ses codes, mais c’est pratiquement du domaine « pour techniciens »
    Au final, la seule solution réaliste pour une personne ordinaire, c’est le SMS. Il faut faire en sorte que les opérateurs rendent le SIM swap plus difficile

    • Les banques émettrices de cartes en Europe y sont toutes parvenues
      Là-bas, les SMS sont heureusement assez chers pour que les banques les jugent peu économiques comme facteur de mot de passe à usage unique, et trop peu sûrs pour être utilisés seuls dans l’authentification des paiements, ce qui a rendu nécessaire un deuxième facteur
      Résultat, les banques proposent des méthodes plus sûres ou plus ergonomiques. Par exemple une application d’authentification propre à la banque, qui fonctionne souvent même sans Internet ni signal cellulaire, comme lors d’un voyage international, des authentificateurs matériels, WebAuthN, etc.
      Il ne faut pas dire « rendons le SIM swap plus difficile », mais plutôt que les sociétés financières doivent élever leur niveau et proposer des méthodes qui ne soient vulnérables ni aux compromissions de sécurité ni au verrouillage des utilisateurs
    • Ma banque m’a obligé à installer Symantec VIP. Ce n’était pas terrible
      Pour déclarer mes impôts, il faut MyGovID. Ce n’est pas terrible non plus
    • Google Authenticator se synchronise désormais avec le compte Google
    • Le gestionnaire de mots de passe intégré à iOS prend en charge directement dans le système d’exploitation la double authentification TOTP, donc aucune application séparée n’est nécessaire
  • Appliquons le même raisonnement ailleurs
    Une entreprise qui introduit la connexion par mot de passe devrait être responsable du vol de Post-it
    Une entreprise qui introduit la double authentification par e-mail devrait être responsable du vol de comptes e-mail
    Je ne vois pas en quoi ce raisonnement tient. On voit ce genre de chose se répéter. Il y a un acteur qui ne viole pas la loi et qui peut coopérer avec les forces de l’ordre, et un acteur criminel qui ne respecte pas la loi attaque ses clients. Comme on ne peut pas claquer des doigts pour que le gouvernement rende le vol deux ou trois fois plus illégal, les gens s’en prennent en général à la partie innocente et essaient de lui rendre la vie plus difficile
    Il faut respirer un grand coup et laisser tomber. Il n’existe pas de niveau inoffensif quand on punit un innocent à la place du coupable
    Cela semblera peut-être étrange et délirant, mais la personne qui a échangé la SIM devrait être tenue responsable de l’attaque par SIM swapping. Quoi ? Blâmer le criminel ? C’est une position audacieuse, mais c’est la bonne

    • La différence entre la double authentification par SMS et les exemples cités, c’est que, dans le premier cas, il est littéralement impossible de l’utiliser de manière sûre
      À ma connaissance, aucun opérateur mobile grand public aux États-Unis n’a mis en place de protections adéquates contre des choses comme les SIM swaps non autorisés
      Une entreprise qui met en œuvre la double authentification par SMS devrait le savoir, et si elle a vendu aux consommateurs un système de double authentification profondément défectueux comme étant « plus sûr », en toute connaissance de cause, elle devrait être tenue responsable en cas d’échec
      Plus vite la double authentification par SMS disparaîtra, plus vite les vieux sites web qui n’ont implémenté que la double authentification par SMS seront forcés de mettre en place des méthodes réellement sûres
    • J’ai eu une réflexion similaire en voyant l’affaire 23andMe
      Ils auraient peut-être dû faire mieux, mais les tentatives visant à les « punir » donnent l’impression d’une loi rétroactive. Il faudrait créer une nouvelle réglementation et sanctionner les incidents futurs, pas celui-ci
    • Les opérateurs télécoms devraient aussi être responsables
    • C’est un homme de paille. On peut contrôler le fait de ne pas écrire sur un Post-it
      On ne peut pas contrôler une attaque par SIM swapping
  • Du point de vue d’un fournisseur de service en ligne, l’usage du SMS est parfaitement logique
    Les deux objectifs suivants sont très proches, mais distincts

    1. Preuve de possession du compte : la personne qui tente l’action possède-t-elle le compte ?
    2. Limiter le nombre de comptes créés par des utilisateurs non légitimes
      Le SMS est très efficace pour le point 2. Peu de gens ont accès à 100 numéros de téléphone différents
      Obtenir un numéro de mobile implique généralement une procédure personnelle nécessitant des éléments comme une adresse, un passeport ou un numéro de sécurité sociale. Il y a des démarches à franchir
      Si les entreprises s’appuient sur le SMS, c’est parce qu’elles peuvent externaliser les procédures de connaissance client aux opérateurs. Elles ne l’utilisent pas parce que c’est la solution la plus optimale ou la plus sûre pour prouver la possession d’un compte
      Les gens qui se plaignent sans cesse n’ont clairement jamais eu à prendre ce genre de décision d’authentification dans une entreprise liée à la réglementation ou aux services financiers
    • Cet argument est complètement distinct de la prise de contrôle de compte
      On peut exiger un numéro de téléphone pour la création d’un compte sans pour autant permettre de prendre le contrôle du compte avec le seul SMS envoyé à ce numéro
    • Ce n’est pas parce qu’on comprend exactement pourquoi les entreprises font cela qu’on doit s’en réjouir
      Avec la même logique, on pourrait justifier qu’une entreprise piste ses utilisateurs et vende leurs données personnelles. Cela rapporte de l’argent, et gagner de l’argent est une partie importante de l’exploitation d’une entreprise
    • Contrairement à l’idée selon laquelle « peu de gens ont accès à 100 numéros de téléphone différents », les fournisseurs de vérification par SMS sont partout
      Pour une somme très faible, du genre 50 centimes par vérification, on peut utiliser des dizaines ou des centaines de numéros de téléphone. Cela n’arrête personne qui soit un tant soit peu motivé