Le NIST assouplit ses directives sur l’authentification par SMS

David Vergara, octobre 24, 2017

Comme les choses peuvent changer en seulement un an. Comme le rapporte le récent bulletin d’information du magazine AppDev, un an seulement après que le NIST, le National Institute of Standards and Technology, a publié des directives jugeant les SMS peu sûrs et inappropriés comme mécanisme d’authentification forte, il fait marche arrière pour alléger ses déclarations fortes antérieures et propose en lieu et place une nouvelle recommandation plus souple.

L'an dernier, le NIST jugeait « obsolète » la 2FA par SMS en raison des vulnérabilités que suppose un mécanisme hors bande dans des environnements d'authentification multi-facteurs. « Le terme "obsolète" a semé la confusion chez le public, a déclaré Paul Grassi, conseiller principal en normes et technologie au NIST, car on ne savait pas clairement si la 2FA par SMS devenait interdite ou si elle restait autorisée ». Suite à une proposition établie sous la supervision des secteurs des télécommunications, de la finance et de la sécurité sur la manière d’utiliser correctement les SMS, le NIST a appliqué ces changements et, bien que le projet de SMS ait été jugé « obsolète », il a finalement été classé dans la catégorie « restreint », c’est-à-dire que les entreprises ou les utilisateurs prendraient un risque en utilisant la 2FA par SMS.

Bien que le public cible du NIST soit les agences gouvernementales fédérales, de nombreuses entités commerciales ont adopté les conseils du NIST. En outre, même si la transmission par SMS de mots de passe à usage unique est « restreinte » par le NIST, cela ne signifie pas que les organisations doivent éviter la 2FA. En effet, d'autres approches, par exemple l'OTP de type push (envoi d'un code à un appareil mobile via une application telle que Google Authenticator), qui est signé de manière cryptographique et non transmis via le canal SMS, permettent d'éviter ces vulnérabilités.

Ce nouveau processus de réflexion ne signifie toutefois pas que le SMS soit devenu plus robuste. Les SMS ne sont pas (toujours) à l'abri des regards indiscrets. Il n’y a (encore) aucune garantie qu’ils seront effectivement transmis au destinataire prévu. Et, dans l'ensemble, ils sont (encore) perçus comme peu sûrs.

Les attaques contre les SMS et ce qui est communément appelé le « SIM Swap » remontent à près de dix ans. Aujourd’hui, ces attaques sont monnaie courante et tous les opérateurs américains, y compris Verizon, AT&T, T-Mobile, Sprint et d’autres en sont victimes.

L'exploitation des SMS devient monnaie courante

La prise de conscience des défaillances des SMS n'est pas l'apanage des publications techniques ou des professionnels de la sécurité. L'exploitation des SMS se popularise de plus en plus.

Par exemple, un récent article du New York Times décrit comment des usurpateurs d’identité détournent des comptes de téléphone portable pour s’emparer de la monnaie virtuelle. Cet article poursuit en décrivant comment un portefeuille de monnaie virtuelle (et l’investisseur auquel il appartenait) a été vidé de son contenu de près de 150 000 dollars dans les minutes qui ont suivi la prise de contrôle de son téléphone par des pirates informatiques.

Comme précisé dans l’article du Times par d’autres victimes de vol de cryptomonnaie, les SMS, requis par la plupart des sociétés financières pour associer les comptes en ligne des clients à des numéros de téléphone afin de vérifier leur identité, restent le principal point noir. Ce système permet à une personne ayant le bon numéro de téléphone de réinitialiser les mots de passe des comptes, même sans connaître les mots de passe initiaux. Un pirate informatique se contente de cliquer sur « Mot de passe oublié » et un nouveau code est instantanément envoyé au téléphone (et au numéro de téléphone) qu’il a détourné.

En fonction de la société de télécommunications, le pirate peut perpétrer cette arnaque en personne, par téléphone ou même par le biais d’une discussion en ligne. Lorsque le pirate possède la nouvelle carte SIM, il est facile d'envoyer le SMS au nouveau téléphone et de compromettre les comptes. De plus, dès lors qu’une personne malveillante contrôle le numéro de téléphone, elle peut également réinitialiser les mots de passe associés à tous les autres comptes qui utilisent ce numéro de téléphone comme sauvegarde de sécurité.

Authentification adaptative : améliorer l'expérience utilisateur et se augmenter son chiffre d'affaires grâce à la protection intelligente
PAPIER BLANC

Authentification adaptative : améliorer l'expérience utilisateur et se augmenter son chiffre d'affaires grâce à la protection intelligente

Téléchargez ce document et atteignez le double objectif de réduire la fraude et de ravir le client.

Télécharger

Un niveau d’authentification plus élevé

Aujourd’hui, la plupart des utilisateurs se servent de l’authentification par SMS comme méthode d’authentification de secours pour autoriser des transactions sécurisées, telles que les changements de mot de passe. Il s’agit d'une forme d'authentification à deux facteurs lorsqu’elle est utilisée pour des transactions de faible valeur. Néanmoins, si vous l’utilisez (ou si vous vous y fiez exclusivement) pour des transactions à plus haut risque, telles que les changements de carte de crédit, les transferts ACH ou les virements bancaires, mieux vaut envisager une forme d’authentification plus forte. Dans ce cas, si un utilisateur essaie d’effectuer une opération considérée comme plus risquée (par exemple, une transaction), il devra être invité à satisfaire un niveau d’authentification plus élevé afin de mener à bien cette opération.

Cependant, même les mécanismes d’authentification « renforcés » par SMS sont problématiques. En règle générale, ils sont générés de manière aléatoire, stockés dans le back-end et envoyés au service Web enregistré. Il n’y a pas de validation du numéro de téléphone, ni de validation de l’identité du titulaire du téléphone, ni même de confirmation qu’une application sur ce téléphone particulier a effectivement généré la demande en cours de traitement.

Relativiser l'usage des SMS

Même si le NIST a peut-être renoncé à sa position ferme contre l’utilisation des SMS comme une véritable solution d'authentification à deux facteurs, les équipes de sécurité devraient évaluer l’utilisation et le recours de leur entreprise aux SMS et mettre en place les contrôles appropriés pour s’assurer que les SMS ne deviennent pas une faille dans leur système de sécurité.

Comme l’illustre l’article du Times et comme le prouve l’expérience, le SMS est en train de se transformer rapidement en une cible d'exploitation courante par des personnes loin d'être des spécialistes du piratage informatique. Même des criminels possédant peu de connaissances techniques (voire aucune) peuvent, avec un sourire et une poignée de main virtuelle, exploiter les SMS et souvent en tirer un gain monétaire conséquent.

En tant que communauté, nous devons évaluer comment les SMS sont utilisés et quels types de communication devraient être utilisés avec ce protocole. Découvrez-en plus sur la manière dont l'authentification biométrique (comportementale, faciale, empreintes digitales...), la signature de transactions hors bande, la notification push et l'analyse des risques permettent de remédier aux failles de sécurité des SMS.

David Vergara est directeur principal du marketing des produits de sécurité à OneSpan. Il possède plus de 15 ans d’expérience en plateformes nuagiques et logiciels en tant que services, en analyse prédictive et en technologies avancées d’authentification multi-facteurs. Dans le cadre de ses fonctions actuelles, il est responsable de la stratégie de mise en marché et de son exécution pour toutes les gammes de produits d’authentification et d’analyse des risques. Avant de se joindre à OneSpan