SMS, code, clé physique : la double authentification est-elle vraiment infaillible ?

Le 10 avril dernier, Google annonçait que les smartphones sous Android 7 et versions supérieures pourraient être employés comme deuxième facteur d’authentification physique dans le cadre de ses services. Lorsque l’on se connecte à son compte avec un ordinateur, il suffit que son smartphone soit présent à proximité pour que l’authentification se fasse automatiquement.

Cette nouvelle fonctionnalité a été saluée par les experts de la cybersécurité. Si ceux-ci insistent sur l’importance de l’authentification à deux facteurs (two-factor authentication, ou 2FA) pour sécuriser convenablement ses comptes, nombre des solutions proposées jusqu’à présent souffraient d’un certain nombre de failles. Le service proposé par Google ne fonctionne pour le moment qu’avec son compte Google. En attendant une généralisation au reste de sa vie numérique, que faire de la double authentification ?

Comment fonctionne la double authentification ?

Nous possédons tous des dizaines de comptes sur les grandes plateformes du numérique. Google, Facebook, Twitter, Amazon, Spotify… Ils sont tellement nombreux que l’on ne les compte plus. Ces comptes, et les différentes données qu’ils recèlent, ont évidemment entraîné des vagues de piratages à grande échelle. Et pour mitiger les effets de ces failles de sécurité, de nombreux services se sont mis à conseiller voire imposer l’usage de la double authentification.

Pour mitiger les effets des failles de sécurité, de nombreux services se sont mis à conseiller voire imposer l’usage de la double authentification

Supposons qu’un hackeur ait réussi à dérober le mot de passe de quelqu’un. Sans 2FA, le compte de la victime serait immédiatement compromis. Mais si ce compte nécessite un SMS, une clé USB (un dongle) ou un code envoyé par une application installée sur son téléphone — bref un deuxième système d’authentification, le hackeur est bloqué, ce qui laisse à l’utilisateur le temps de changer son mot de passe.

La 2FA n’est pourtant pas née avec le web : comme monsieur Jourdain faisait de la prose sans le savoir, vous l’utilisez sans doute souvent dans votre vie quotidienne sans y prêter attention. C’est typiquement le cas de la carte bleue. À moins de l’utiliser en mode sans contact, il ne suffit pas de posséder physiquement la carte pour payer. Ce serait beaucoup trop facile pour un voleur. Une fois la carte insérée dans le lecteur, il faut également saisir un code confidentiel connu de vous seul(e).

Ce code est un exemple de ce qu’on appelle le deuxième facteur d’authentification. Il en existe trois types différents.

• Ce que l’utilisateur connaît. C’est le cas d’un code PIN ou d’un numéro envoyé par SMS. C’est de loin le mode de 2FA le plus répandu, car il est peu coûteux et facile d’utilisation.
• Ce qu’il possède. C’est le cas d’une clé d’authentification ou d’un smartphone chez Google. C’est plus sécurisé, mais souvent aussi plus encombrant.
• Ce qu’il est. Il s’agit des empreintes digitales et autres données biométriques. C’est la procédure employée dans certains aéroports si vous disposez d’un passeport biométrique : vous devez non seulement présenter votre document, mais aussi poser le bout de vos doigts sur un lecteur.

Néanmoins, dans son principe même, la double authentification n’est pas sans failles. Reprenons l’exemple de la carte bleue. Si vous retirez de l’argent un soir à un distributeur de billets, vous devez rentrer votre code confidentiel dans la machine. Et vous n’êtes pas à l’abri de regards indiscrets. Si vous n’avez vraiment pas de chance, une personne malintentionnée peut épier votre code avant de vous arracher votre carte bancaire. La double authentification ne sert alors plus à rien !

Inadaptée aux nouveaux dangers d’Internet ?

Déjà en 2005, le gourou de la cybersécurité Bruce Schneier dénonçait sur son blog « l’échec de l’authentification à deux facteurs ». Le chercheur estime que cette sécurité était performante dans les années 1990. Les techniques de vol de mot de passe étaient alors essentiellement « passives ». Il s’agissait par exemple d’attaques de l’homme du milieu (man-in-the-middle attack, ou « MITM »), où le hackeur intercepte le mot de passe au vol en compromettant par exemple un hotspot Wi-Fi ; ou alors de méthodes moins sophistiquées consistant à deviner le mot de passe si celui-ci est de piètre qualité.

L’authentification à deux facteurs répond bien à ces vulnérabilités d’antan, mais gèrerait plus difficilement les attaques dites « actives » qui émergent dans les années 2000. Dans une version plus élaborée de la MITM qui n’est pas sans rappeler l’hameçonnage (phishing), les hackeurs créent un site web frauduleux ayant l’apparence et le comportement attendu d’un site légitime, par exemple celui d’une banque. Puis ils dupent l’utilisateur pour que celui-ci y entre ses identifiants.

Ces derniers sont alors immédiatement intégrés dans le site de la vraie banque, qui envoie un SMS contenant un code au vrai utilisateur. Ce dernier rentre le code sur le faux site, et les hackeurs peuvent ainsi mettre la main sur le vrai compte en banque. Une technique qui demande certes plus de moyens, mais qui n’est pas particulièrement complexe à mettre en œuvre pour autant.

Le cheval de Troie (trojan) fonctionne de manière encore plus directe. En compromettant l’ordinateur de la victime, ce virus n’a qu’à attendre qu’elle se connecte de manière légitime à la banque pour prendre le contrôle de sa session. Dans une variante nommée man-in-the-browser (MITB) et dévoilée en 2005, le cheval de Troie s’introduit dans le navigateur web. Quand l’utilisateur donne certaines instructions au site de la banque, via son navigateur, le cheval de Troie se met à donner des informations complètement différentes (comme les montants, le réceptionnaire du virement, etc.).

D’autres faiblesses touchent la procédure de recouvrement des mots de passe, qui permet de retrouver ses identifiants en cas d’oubli. Très souvent, les sites ne font qu’envoyer un email à l’utilisateur, sans lui poser de question et surtout sans utiliser de procédure de double authentification. Bruce Schneier conclut ainsi que la 2FA serait adaptée aux utilisations locales et à certaines entreprises, mais ne se prête pas forcément à toutes les utilisations de comptes en ligne. En effet, des incidents de sécurité apparaissent vite, en particulier autour du SMS.

Ce numéro de téléphone si rassurant

Vous avez probablement tous eu affaire à de la 2FA par SMS. Une fois vos identifiants rentrés sur le site, ce dernier vous envoie par SMS un code à usage unique que vous devez rentrer en un temps imparti. Le premier écueil de ce système est assez évident, mais mérite tout de même d’être mentionné. En cas de changement de numéro de téléphone, vous devez bien penser à renseigner votre nouveau numéro sur chacun de vos comptes avant de désactiver votre ancien numéro. Dans le cas contraire, vous risquez d’en perdre définitivement l’accès ! Au-delà de ces détails d’intendance, la 2FA par SMS est malheureusement vulnérable aux piratages.

Avec l’avènement du smartphone, le numéro de téléphone est devenu une pierre angulaire – et un véritable maillon faible – de notre identité numérique

Avec l’avènement du smartphone, le numéro de téléphone est devenu une pierre angulaire – et un véritable maillon faible – de notre identité numérique. Il a remplacé l’adresse email pour la création de nombreux comptes, et il est souvent associé à beaucoup d’autres. Pourtant, on prête beaucoup moins d’attention à la sécurité de notre numéro de téléphone qu’à celle de notre adresse email, souvent protégée par notre mot de passe le plus fort. Peut-être est-ce parce que le smartphone est un objet proche de soi, plus “intime” qu’une boîte email dématérialisée, ou parce que le numéro de téléphone apparaît encore comme datant d’avant Internet et donc insensible à ses dangers. Des vulnérabilités dans le SMS et la carte SIM ont permis le piratage et la revente sur le marché noir de nombreux comptes Instagram, tandis que d’autres utilisateurs se sont fait extorquer de l’argent.

Le numéro de téléphone, nouvelle cible des pirates

Le SMS, comme d’autres services mobiles, est basé sur un ensemble de protocoles de signalisation téléphonique appelé Signaling System 7 (SS7) et développé par le géant télécom américain AT&T en 1975. De nombreuses failles de sécurité ont été découvertes dans le SS7 au cours des années 2000 et 2010, certaines permettant par exemple de géolocaliser de manière précise des utilisateurs d’appareils mobiles. En mai 2017, l’opérateur allemand O2 Telefonica a été victime de vulnérabilités critiques, permettant aux hackeurs de lire des SMS et d’écouter des appels téléphoniques malgré le chiffrage opéré par les réseaux cellulaires.

Plus simplement, les hackeurs peuvent aussi pratiquer de l’ingénierie sociale en exploitant des failles humaines. Leur but : obtenir une copie de la carte SIM de leur victime, de façon à pouvoir recevoir tous les SMS adressés à cette dernière. Les opérateurs télécoms s’interdisent en principe de délivrer le double d’une carte SIM sans voir la pièce d’identité de son propriétaire.

En pratique, de nombreuses boutiques font preuve de négligence si l’on parvient à amadouer le vendeur. Aux États-Unis, les voleurs passent des coups de fil aux centres d’appel des opérateurs et usurpent l’identité de leur victime grâce à des données comme son numéro de sécurité sociale ou de permis de conduire – deux informations sensibles ayant notamment fuité en 2017 pour 143 millions de clients de l’agence de crédit Equifax. Ils n’ont alors plus qu’à déclarer avoir perdu leur (votre) carte SIM, et le tour est joué.

Le dernier problème est lié à la vie privée. En renseignant votre numéro de téléphone sur une plateforme en ligne, vous courez le risque que celle-ci utilise voire revende cette donnée à des fins autres que l’authentification. Facebook a été pris la main dans le sac en mars dernier : une fois que vous y activez la double authentification par SMS, n’importe qui peut trouver votre profil Facebook en saisissant votre numéro de téléphone dans la barre de recherche du site. Et vous ne trouverez aucune option dans les paramètres pour refuser cela.

La solution par les applications d’authentification

Si le SMS n’est pas une option viable, faut-il pour autant abandonner la double authentification? Non, diront la plupart des experts en cybersécurité. Bien qu’imparfaite, la double authentification reste beaucoup plus sécurisée qu’une authentification simple. Si les plus geeks d’entre nous pourraient préférer l’usage d’une clé de sécurité physique, celle-ci reste souvent chère et complexe à utiliser, sans parler des risques de l’égarer.

Pour le commun des mortels, le mode de double authentification le plus solide sur un smartphone reste l’application d’authentification, dont la plus connue est le Google Authenticator. Celle-ci génère un code à durée de vie très courte (par exemple 30 secondes) à chaque fois que l’on a besoin de se connecter à un compte. Le code transite par des canaux sécurisés en se servant par exemple de l’algorithme TOTP (Time-based One-Time Password). La carte SIM et ses faiblesses sont donc complètement écartées de la procédure.

L’idéal reste d’associer une de ces applications d’authentification à un gestionnaire de mots de passe, comme Dashlane. Car finalement, le plus dur pour des hackeurs sera toujours de trouver le mot de passe. Dashlane est non seulement capable de générer des mots de passe complexes, mais aussi et surtout de les protéger à un seul endroit, au sein de son application. Dashlane est disponible sur tous les appareils du moment (PC, Mac, Android ou iOS) et se synchronise automatiquement. Elle comporte également une option permettant de se connecter via un système de double authentification. Sa mise en place est par ailleurs simple et intuitive.

Notez pour finir que le lien ci-dessus permet de bénéficier de 10 % de réduction sur l’abonnement d’un an à Dashlane (soit 35,96 euros au lieu de 39,99 euros) mais aussi d’essayer gratuitement la version Premium pendant un mois.