Microsoft s'en prend à l'authentification multifacteur via réseau mobile

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 13 novembre 2020 à 15h40
securité

Face à la multiplication des cyberattaques, Microsoft, comme les autres grandes sociétés, encourage les utilisateurs à activer l'authentification par deux facteurs. Toutefois, la multinationale explique que l'envoi des codes par SMS est particulièrement vulnérable.

L'authentification par deux facteurs est aujourd'hui quasi généralisée. Pour s'identifier, le dispositif propose non seulement de saisir son mot de passe mais également un code à usage unique sur les terminaux qui ne sont pas reconnus comme étant des appareils de confiance.

La vulnérabilité des codes par SMS

Lorsque l'utilisateur souhaite se connecter à un compte internet protégé par une authentification à deux facteurs sur un ordinateur public, il a généralement le choix pour recevoir ce code à usage unique. Ce dernier peut être généré par une application telle que Microsoft Authenticator, Authy, FreeOTP Authenticator ou Google Authenticator. Ce code peut également être envoyé sur sa boîte mail. Enfin, il peut également être envoyé par SMS, voire dicté par téléphone.

Dans ces deux derniers cas, selon Alex Weinert, directeur du département Identité et Sécurité chez Microsoft, les SMS et les appels sont transmis en clair. Cela signifie qu'ils peuvent être interceptés. Sur Tor, un service facturé à 500 dollars par mois permet d'exploiter des failles du réseau téléphonique afin d'intercepter les communications.

Il existe en outre des appareils vendus illégalement dans le seul but de collecter les IMSI afin d'identifier un utilisateur sur un réseau de téléphonie mobile. Le numéro IMEI permet quant à lui de récupérer la position géographique du téléphone. Couplé à un logiciel tel que FISHHAWK ou PORPOISE, il est alors possible de récupérer les messages et d'en envoyer depuis ces téléphones.

L'envoi d'un code à usage unique par SMS est également vulnérable à l'appréciation humaine de l'opérateur téléphonique. La technique du SIM swapping vise à recueillir un maximum d'informations sur la victime et de convaincre l'opérateur de migrer la ligne vers une seconde carte SIM en prétendant avoir perdu son téléphone. Lorsque la technique est en place, les codes à usage uniques sont donc envoyés vers un autre téléphone détenu par le hacker.

Microsoft conseille d'opter pour une autre méthode

Alex Weinert explique que les techniques de hacking ciblant les SMS et les appels téléphoniques tendent à se multiplier, ce qui en fait la technique la plus vulnérable aujourd'hui pour une authentification par deux facteurs.

Dans un billet de blog publié l'année dernière, il expliquait que les codes générés par des appareils électroniques constituaient la méthode la plus fiable. Sur le marché, nous retrouvons par exemple YubiKey ou Google Titan.

Si, toutefois, vous ne souhaitez pas investir, mieux vaut donc opter pour une application générant des codes temporaires automatiquement.

Source : Zdnet US

Guillaume Belfiore
Par Guillaume Belfiore
Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
k43l

J’ai personnellement opté pour une application d’authentification. Cependant impossible d’avoir le choix sur l’envoi ou non d’un sms dans la majorité des cas.

Blap

La double authentification est la justement parce que le mot de passe n’est pas fiable… se renvoyer la balle ne sert a rien.

vbond007

Ce que veut dire DocteurQui, c’est qu’il faut d’une part connaitre le mot de passe principal, puis avoir aussi accès au SMS envoyé.
Il existe de plus des techniques proposées par les opérateurs, à destination des banques par exemple, pour détecter le SIM SWAP.
Ainsi une banque (ou toute autre entité pour qui la sécurité est importante) peut interroger, via une API, l’opérateur (ou un agrégateur raccordé aux opérateurs) pour savoir si la SIM a été récemment renouvelée et dans ce cas ne pas envoyer le code par SMS.
Je pense donc que ça reste un moyen relativement fiable de système de 2FA.

Patrick_Beau

La règle en sécurité est deux moyens d’authentification: ce que je sais et ce que je possède.
Le mot de passe est ce que je sais, le code d’accès temporaire est obtenu par ce que je possède.
Si on obtient l’un, il est compliqué d’avoir l’autre.

orionb1

n’y a-t-il pas des moyens de sécuriser plus le SMS ? ce n’est pas prévu par les opérateurs ?