Authentification à deux facteurs par SMS : une méthode de sécurité pire que sa réputation

 (ccc.de)
2 points par GN⁺ 2024-07-12 | 1 commentaires | Partager sur WhatsApp

  • Mots de passe à usage unique et SMS

    • Les mots de passe à usage unique sont souvent envoyés par SMS
    • Des chercheurs en sécurité du CCC ont eu un accès en temps réel à plus de 200 millions de SMS envoyés par plus de 200 entreprises

  • Authentification à deux facteurs par SMS (2FA-SMS)

    • La 2FA-SMS est une méthode destinée à renforcer la sécurité de l’authentification
    • Elle exige un code dynamique envoyé par SMS en plus d’un mot de passe statique
    • Lors de la connexion, l’utilisateur doit saisir ce code, ce qui prouve à la fois le mot de passe (1er facteur : connaissance) et l’accès au numéro de téléphone (2e facteur : possession)
    • Un mot de passe volé ne suffit donc pas, à lui seul, à compromettre le compte d’un utilisateur

  • Vecteurs d’attaque bien connus

    • Via le SIM swapping ou des failles SS7 du réseau mobile, des attaquants peuvent intercepter les SMS
    • Des attaques de phishing peuvent pousser les utilisateurs à divulguer leurs mots de passe à usage unique
    • Le CCC déconseille l’usage du SMS comme second facteur depuis 2013
    • Malgré cela, la 2FA-SMS reste largement utilisée et offre une sécurité supérieure à une authentification par simple mot de passe

  • Désormais visible aussi en ligne !

    • Le CCC a démontré une attaque jusqu’ici négligée contre la 2FA-SMS
    • Des prestataires de service envoient en masse des SMS pour différentes entreprises et différents services, et ont accès au contenu des SMS
    • La sécurité du processus d’authentification dépend donc aussi de la sécurité de ces prestataires

  • L’erreur d’IdentifyMobile

    • IdentifyMobile partageait en temps réel des mots de passe à usage unique sur Internet
    • Le CCC a pu accéder à ces données par hasard
    • Il suffisait de deviner un sous-domaine nommé idmdatastore
    • En plus du contenu des SMS, les numéros de téléphone des destinataires, les noms d’expéditeur et d’autres informations de compte étaient visibles

  • 200 millions de SMS provenant de plus de 200 entreprises

    • Plus de 200 entreprises, dont Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx et DHL, sont concernées
    • Au total, 198 millions de SMS ont fuité
    • Le simple fait d’observer le flux en temps réel aurait permis de prendre le contrôle de numéros WhatsApp, d’effectuer des opérations financières ou de se connecter à divers services si l’on connaissait déjà le mot de passe

  • Pas (encore) une catastrophe

    • En général, l’exploitation d’un code SMS exige aussi le mot de passe
    • Mais des liens de connexion en « un clic » figuraient également dans les données
    • Pour certaines grandes entreprises, seuls les services individuels protégés par IdentifyMobile sont touchés
    • La négligence d’IdentifyMobile a exposé les entreprises et leurs clients à un risque majeur
    • Des services de protection des données sont déjà submergés de demandes similaires dans le monde entier

  • Nous n’avons pas conservé les données

    • Mais il est impossible d’exclure que d’autres y aient eu accès

  • La 2FA-SMS vaut mieux que rien, mais il faut utiliser d’autres méthodes

    • Les mots de passe à usage unique générés par une application ou les tokens matériels sont plus sûrs et indépendants du réseau mobile
    • Si cette option est disponible, il est recommandé de l’utiliser
    • Et tout second facteur reste préférable à un simple mot de passe

Le résumé de GN⁺

  • Cet article traite des failles de sécurité de l’authentification à deux facteurs par SMS
  • À cause d’une erreur d’IdentifyMobile, plus de 200 millions de SMS ont fuité, exposant de nombreuses entreprises et leurs clients à un risque majeur
  • La 2FA-SMS est plus sûre qu’un simple mot de passe, mais il vaut mieux utiliser des mots de passe à usage unique générés par application ou des tokens matériels
  • Cet article est utile pour les personnes intéressées par la sécurité et alerte sur les risques de l’authentification par SMS

À lire aussi

1 commentaires

 
GN⁺ 2024-07-12
Avis sur Hacker News

  • Une connaissance de la famille partage son expérience d’une attaque de phishing déclenchée via Google Ads

    • L’attaquant a diffusé des publicités sur des recherches comme "BANKNAME login"
    • Le code 2FA a été saisi sur un faux site, puis un deuxième code a été demandé
    • Ce deuxième code a servi à ajouter un nouveau destinataire "pay anyone"
    • Au final, de l’argent a été perdu, puis récupéré plus tard

  • La personne possède deux comptes bancaires, l’un utilisant la 2FA par SMS et l’autre une application

    • Elle pensait que l’application était par défaut plus sûre, mais que dans certaines situations le SMS peut être préférable
    • La 2FA idéale générerait des jetons différents selon le type de transaction

  • Il y a un soupçon que les entreprises qui imposent la 2FA par SMS ne se soucient pas vraiment de la sécurité et veulent surtout obtenir un numéro de téléphone

    • Le NIST recommande de ne pas utiliser la 2FA par SMS
    • De nombreuses banques imposent la 2FA par SMS parce que leurs applications ne fonctionnent pas sur les téléphones rootés

  • Utilisation de ChatGPT 4 pour analyser des captures d’écran de sites bancaires afin de vérifier s’il s’agit de phishing

    • En modifiant une seule lettre dans l’URL, cela a été identifié comme une tentative de phishing
    • Le modèle peut analyser automatiquement les captures d’écran et juger si elles sont légitimes ou non

  • Au Royaume-Uni, presque toutes les transactions bancaires en ligne sont vérifiées par SMS

    • Cela semble être une exigence légale
    • L’ancien système de vérification par carte + lecteur de carte + code PIN était plus sûr
    • Espoir que ce mauvais choix soit reconnu et corrigé

  • L’article confond deux problèmes de sécurité différents

    • Les liens de "1-click login" sont dangereux avec un simple accès aux SMS
    • Les codes 2FA constituent un second facteur, donc ils sont moins préoccupants puisqu’un mot de passe est aussi nécessaire

  • La Suède a résolu ce problème avec BankID

    • Cela a été rendu possible grâce à une coopération entre institutions publiques et privées
    • Il est utilisé pour la connexion et la 2FA sur les services publics et dans la plupart des banques
    • Il est surprenant qu’un tel système n’existe pas dans d’autres pays ou à l’échelle de l’UE

  • Le message du bucket S3 est mis à jour toutes les 5 minutes

    • Non seulement Twilio Verify (API de 2FA), mais aussi tous les SMS envoyés via ce fournisseur sont concernés

  • Plusieurs institutions financières exigent la 2FA par SMS et ne proposent pas d’option HOTP/TOTP