La double authentification (2FA) fait désormais partie du quotidien des utilisateurs, et nous avons déjà tous utilisé l’authentification par SMS. Après avoir saisi un mot de passe, une invite nous demande de renseigner un code ou un numéro envoyé sur notre téléphone. On saisit le code, on accède à l’application. Rien de plus simple, n’est-ce pas ?
Tout le monde a accès à un smartphone. Pas surprenant, donc, que la double authentification par SMS fasse partie des méthodes d’authentification multifacteur (MFA) les plus répandues. La méthode ne dépend d’aucun écosystème spécifique, et ne requiert aucune application dédiée ni clé numérique. Malheureusement, cette méthode de MFA pratique est également la moins sûre (ce que Microsoft confirme).
Les quatre grands risques auxquels l’authentification par SMS expose votre entreprise
La nature même des SMS expose votre entreprise à une multitude de risques. Les pirates peuvent exploiter les SMS de différentes façons pour accéder à vos comptes et à votre réseau. Dans cet article, nous allons analyser quatre stratégies d’attaques courantes.
Usurpation de numéro/Phishing
Les pirates utilisent la bonne vieille technique de l’usurpation de numéro, souvent associée au phishing, pour intercepter et lire vos messages SMS. Pour les connaisseurs, cette technique est extrêmement basique. Cette facilité d’accès est due au fait que les messages SMS s’appuient exclusivement sur la sécurité des réseaux et des opérateurs téléphoniques. Malheureusement, l’un comme l’autre sont connus pour être mal sécurisés.
Si certains messages texte sont chiffrés de bout en bout (comme les messages iMessages entre iPhones ou les messages WhatsApp), les SMS s’échangent au format texte brut. Les messages en texte brut ne sont pas chiffrés entre l’expéditeur et le destinataire : si des attaquants parviennent à intercepter le message, ils peuvent en consulter le contenu.
D’ailleurs, si vous souhaitez vérifier l’état de sécurité de votre téléphone, utilisez ces codes pour vérifier si votre téléphone a été piraté.
Les pirates ont également recours à des techniques de phishing classiques pour convaincre les utilisateurs d’installer un malware sur leur téléphone. Ce malware est conçu pour rechercher les mots de passe à usage unique reçus par SMS, ainsi que les éventuels noms d’utilisateur et mots de passe présents sur l’appareil permettant d’accéder à divers sites web et applications. Le malware transfère ensuite toutes ces informations à l’attaquant.
Échange de carte SIM
Méthode plus sophistiquée, l’échange de carte SIM permet aux cybercriminels de mettre la main sur les clés de votre royaume virtuel : prendre le contrôle de votre numéro de téléphone. Grâce à des stratégies d’ingénierie sociale, les pirates appellent votre opérateur téléphonique en se faisant passer pour une victime et activent un nouveau téléphone en utilisant votre numéro. Avant que vous ne le remarquiez, le pirate s’est approprié tous les systèmes de double authentification qui utilisent votre téléphone en tant que deuxième facteur d’authentification.
Pour plus d’informations sur les conséquences désastreuses qu’un échange de carte SIM peut avoir, même sur une très courte durée, découvrez cette conversation glaçante entre un pirate à la carte SIM et sa victime, publiée par Vice il y a quelques années (en anglais).
Protocole RDP(Remote Desktop Protocol)
Au fil des 18 derniers mois, la démocratisation du télétravail a entraîné une augmentation des attaques sur le protocole RDP (remote desktop protocol) ciblant l’authentification 2FA par SMS. L’équipe de recherche en télémétrie d’ESET a rapporté une augmentation de 768 % des attaques RDP entre le premier et le quatrième trimestre 2020 (en anglais).
Même si de nombreuses attaques RDP sont des attaques par force brute, les cybercriminels exploitent également le RDP dans leurs attaques d’échange de carte SIM en vue d’accéder directement aux systèmes internes des opérateurs de téléphonie. Tout d’abord, les pirates persuadent, par la ruse ou par chantage, un employé d’un opérateur de téléphonie à installer ou à activer un logiciel RDP. Ils infiltrent ensuite à distance le système de l’opérateur, puis échangent les identités des détenteurs de carte SIM depuis l’intérieur du système. Ils prennent ensuite le contrôle total des numéros de téléphone, et des systèmes d’authentification par SMS qui les accompagnent, jusqu’à ce que la justice les rattrape.
Ingénierie sociale
Plus simple encore, les pirates peuvent se faire passer pour vous auprès de votre fournisseur de services mobiles. En exploitant d’autres sources, ils récupèrent des informations personnelles à votre sujet pour répondre aux éventuelles questions de sécurité, puis ils demandent une nouvelle carte SIM (sous prétexte d’avoir perdu l’ancienne ou de se l’être fait voler, etc.).
Ils interceptent ensuite le colis contenant la nouvelle carte SIM. Votre carte SIM se retrouve déconnectée du réseau : le pirate a pris le contrôle de votre numéro de téléphone et peut demander à volonté de nouveaux codes de 2 FA par SMS. Cette technique n’est pas du tout sophistiquée, mais elle est terriblement efficace.
Une autre méthode très simple, mais éprouvée, consiste à s’approcher suffisamment de la victime pour regarder son téléphone. Si vous avez activé les notifications sur l’écran de verrouillage, il est très facile de consulter les mots de passe envoyés par SMS.
Enfin, certains pirates souscrivent depuis peu à des services professionnels de marketing par SMS et d’envoi de messages en masse. Pour un faible coût, ils peuvent rediriger vos messages SMS pour les recevoir.
Quelles méthodes plus sûres pour la 2FA ?
Forrester estime que la 2FA par SMS évite seulement 76 % des attaques (en anglais). Si les SMS représentent la méthode de 2 FA la moins sûre, il existe heureusement d’autres façons de profiter des avantages de la 2FA en toute fluidité.
L’authentification 2FA par jeton physique face aux SMS
De nombreuses entreprises font le choix de l’authentification par un moyen physique, qui requiert un équipement matériel dédié (de type YubiKey ou Token2) pour autoriser l’accès aux comptes. L’authentification exige que les utilisateurs connaissent et saisissent leurs identifiants ; ils sont ensuite invités à soumettre une nouvelle preuve de leur identité en insérant la clé et en la touchant. Même si le dispositif physique peut être perdu ou volé, ce système reste beaucoup plus sûr que les SMS.
L’authentification 2FA par application face aux SMS
D’autres méthodes sont également très répandues pour l’authentification logicielle, notamment celles basées sur les applications mobiles (comme Microsoft Authenticator ou Google Authenticator). Les invites de 2 FA fournissent généralement un QR code qu’il est possible de scanner à l’aide d’une application d’authentification mobile. L’application génère ensuite des mots de passe à usage unique basés sur le temps (TOTP ou OTP), qui changent toutes les 30 secondes. L’utilisateur doit saisir ce code en moins de 30 secondes pour valider l’accès. À cause de cette durée limitée, même si un cybercriminel accède à l’un de vos mots de passe à usage unique, ce code ne fonctionnera plus 30 secondes plus tard.
Contrôles basés sur l’adresse IP
Aujourd’hui, les contrôles basés sur l’adresse IP jouent également un rôle sur les modalités d’application de la double authentification. Les administrateurs peuvent configurer les contrôles d’autorisation en fonction de l’adresse IP afin d’autoriser l’accès, d’appliquer la 2FA ou de choisir la méthode d’authentification 2FA à demander. Cette approche est optimale lorsqu’elle est utilisée en complément d’autres formes d’authentification.
Arrêtez d’utiliser la 2FA par SMS pour protéger vos données
In fine, les téléphones sont conçus dans une optique de facilité d’utilisation, pas de sécurité. La double authentification par SMS représente un risque trop important pour les entreprises qui cherchent à protéger efficacement l’accès à leur réseau et à leurs systèmes.
UserLock permet aux entreprises d’utiliser facilement différentes méthodes de 2 FA sécurisées, qui protègent les accès aux systèmes Windows, RDP, RD Gateway, VPN, IIS et aux applications cloud.