Voici pourquoi les gens disent que l’authentification à deux facteurs n’est pas parfaite

Hibou Gourou

Lorsque l'authentification à deux facteurs a été introduite pour la première fois, elle a révolutionné la sécurité des appareils et contribué à rendre le vol d'identité beaucoup plus difficile, au prix d'inconvénients mineurs ajoutés aux connexions.

Mais ce n'est pas parfait, et cela n'a pas non plus résolu tous nos problèmes de piratage et de vol de données. Certaines nouvelles récentes ont fourni plus de contexte sur la façon dont les pirates ont contourné l'authentification à deux facteurs et érodé une partie de notre confiance en elle.

Authentification à deux facteurs sur un ordinateur portable.

Qu'est-ce que l'authentification à deux facteurs exactement ?

L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire au processus de connexion pour les appareils et les services. Auparavant, les connexions avaient un seul facteur d'authentification – généralement, un mot de passe ou une connexion biométrique comme une analyse d'empreintes digitales ou Face ID, parfois avec l'ajout de questions de sécurité. Cela offrait une certaine sécurité, mais c'était loin d'être parfait, en particulier avec des mots de passe faibles ou des mots de passe remplis automatiquement (ou si les bases de données de connexion sont piratées et que ces informations commencent à apparaître sur le dark web).

L'authentification à deux facteurs résout ces problèmes en ajoutant un deuxième facteur, une autre chose qu'une personne doit faire pour garantir que c'est bien elle et qu'elle a le droit d'accéder. En règle générale, cela signifie recevoir un code via un autre canal, comme recevoir un SMS ou un e-mail du service, que vous devez ensuite saisir.

Exemple d'authentification Duo.

Certains utilisent des codes sensibles au temps (TOTP, Time-Based One Time Password), et d'autres utilisent des codes uniques associés à un appareil spécifique (HOTP, HMAC-based One Time Password). Certaines versions commerciales peuvent même utiliser des clés physiques supplémentaires que vous devez avoir sous la main.

La fonctionnalité de sécurité est devenue si courante que vous avez probablement l'habitude de voir des messages du type "Nous vous avons envoyé un e-mail avec un code sécurisé à saisir, veuillez vérifier votre filtre anti-spam si vous ne l'avez pas reçu". C'est le plus courant pour les nouveaux appareils, et même si cela prend un peu de temps, c'est un énorme saut en matière de sécurité par rapport aux méthodes à un facteur. Mais il y a quelques défauts.

Cela semble assez sûr. Quel est le problème?

Un rapport publié récemment par la société de cybersécurité Sophos détaille une nouvelle façon surprenante pour les pirates de contourner l'authentification à deux facteurs : les cookies. Les mauvais acteurs ont « volé des cookies », ce qui leur donne accès à pratiquement n'importe quel type de navigateur, de service Web, de compte de messagerie ou même de fichier.

Comment ces cybercriminels obtiennent-ils ces cookies ? Eh bien, Sophos note que le botnet Emotet est l'un de ces logiciels malveillants voleurs de cookies qui ciblent les données dans les navigateurs Google Chrome. Les gens peuvent également acheter des cookies volés sur des marchés souterrains, ce qui a été rendu célèbre dans la récente affaire EA où les informations de connexion se sont retrouvées sur un marché appelé Genesis. Le résultat a été 780 gigaoctets de données volées qui ont été utilisées pour tenter d'extorquer l'entreprise.

Bien qu'il s'agisse d'un cas très médiatisé, la méthode sous-jacente existe et montre que l'authentification à deux facteurs est loin d'être une solution miracle. Au-delà du simple vol de cookies, un certain nombre d'autres problèmes ont été identifiés au fil des ans :

  • Si un pirate s'est emparé de votre nom d'utilisateur ou de votre mot de passe pour un service , il peut avoir accès à votre adresse e-mail (surtout si vous utilisez le même mot de passe) ou à votre numéro de téléphone. Ceci est particulièrement problématique pour l'authentification à deux facteurs par SMS/texte, car les numéros de téléphone sont faciles à trouver et peuvent être utilisés pour copier votre téléphone (entre autres astuces) et recevoir le code envoyé par SMS. Cela demande plus de travail, mais un pirate informatique déterminé a toujours une voie claire à suivre.
  • Les applications distinctes pour l'authentification à deux facteurs, comme Google Auth ou Duo, sont beaucoup plus sécurisées, mais les taux d'adoption sont très faibles. Les gens ont tendance à ne pas vouloir télécharger une autre application uniquement pour des raisons de sécurité pour un seul service, et les organisations trouvent beaucoup plus facile de simplement demander "E-mail ou SMS ?" plutôt que d'exiger que les clients téléchargent une application tierce. En d'autres termes, les meilleurs types d'authentification à deux facteurs ne sont pas vraiment utilisés.
  • Parfois, les mots de passe sont trop faciles à réinitialiser. Les voleurs d'identité peuvent rassembler suffisamment d'informations sur un compte pour appeler le service client ou trouver d'autres moyens de demander un nouveau mot de passe. Cela contourne souvent toute authentification à deux facteurs impliquée et, lorsqu'elle fonctionne, elle permet aux voleurs d'accéder directement au compte.
  • Les formes plus faibles d'authentification à deux facteurs offrent peu de protection contre les États-nations. Les gouvernements disposent d'outils qui peuvent facilement contrer l'authentification à deux facteurs, y compris la surveillance des messages SMS, la contrainte des opérateurs sans fil ou l'interception des codes d'authentification par d'autres moyens. Ce n'est pas une bonne nouvelle pour ceux qui veulent des moyens de garder leurs données privées des régimes plus totalitaires.
  • De nombreux stratagèmes de vol de données contournent entièrement l'authentification à deux facteurs en se concentrant plutôt sur le fait de tromper les humains. Il suffit de regarder toutes les tentatives de phishing qui prétendent provenir de banques , d'agences gouvernementales, de fournisseurs d'accès Internet, etc., demandant des informations importantes sur le compte. Ces messages de phishing peuvent sembler très réels et peuvent impliquer quelque chose comme "Nous avons besoin de votre code d'authentification de notre côté afin que nous puissions également confirmer que vous êtes le titulaire du compte" ou d'autres astuces pour obtenir des codes.

Dois-je continuer à utiliser l'authentification à deux facteurs ?

Absolument. En fait, vous devez parcourir vos services et appareils et activer l'authentification à deux facteurs là où elle est disponible. Il offre une bien meilleure sécurité contre des problèmes comme le vol d'identité qu'un simple nom d'utilisateur et mot de passe.

Même l'authentification à deux facteurs basée sur SMS est bien meilleure que rien du tout. En fait, l'Institut national des normes et de la technologie a déjà recommandé de ne pas utiliser le SMS dans l'authentification à deux facteurs, mais l'a annulé l'année suivante car, malgré les défauts, cela en valait la peine.

Lorsque cela est possible, choisissez une méthode d'authentification qui n'est pas connectée aux messages texte et vous bénéficierez d'une meilleure forme de sécurité. Aussi, gardez vos mots de passe forts et utilisez un gestionnaire de mots de passe pour les générer pour les connexions si vous le pouvez.

Les paramètres de sécurité et de confidentialité s'ouvrent sur un MacBook.

Comment améliorer l'authentification à deux facteurs ?

S'éloigner de l'authentification par SMS est le grand projet en cours. Il est possible que l'authentification à deux facteurs passe à une poignée d' applications tierces comme Duo , qui suppriment bon nombre des faiblesses associées au processus. Et davantage de champs à haut risque passeront à la MFA, ou authentification multifacteur, ce qui ajoute une troisième exigence, comme une empreinte digitale ou des questions de sécurité supplémentaires.

Mais la meilleure façon de résoudre les problèmes d'authentification à deux facteurs est d'introduire un aspect physique basé sur le matériel. Les entreprises et les agences gouvernementales commencent déjà à l'exiger pour certains niveaux d'accès. Dans un avenir proche, il y a de fortes chances que nous ayons tous des cartes d'authentification personnalisées dans nos portefeuilles, prêtes à glisser sur nos appareils lors de la connexion aux services. Cela peut sembler bizarre maintenant, mais avec la forte augmentation des attaques de cybersécurité , cela pourrait finir par être la solution la plus élégante.