Utilisée depuis les années 80 dans le secteur bancaire, l‘authentification à double facteur, également connue sous l’acronyme 2FA (Two-Factor Authentication), s’est largement répandue ces dernières années dans le but de renforcer la sécurité des comptes utilisateurs et de leurs données. Il n’est pas rare de voir cette méthode d’authentification être prise pour cible par les cybercriminels.
Quelles sont ces méthodes de contournement ? Quelles sont les limites de la double authentification ? Au travers d’exemples concrets, découvrons si cette méthode d’authentification peut encore être considérée comme fiable.
L’authentification à double facteur, un incontournable de la sécurité en entreprise
L’état de la sécurité dans les entreprises avant l’émergence de l’authentification à double facteur
Avant la popularisation de la 2FA, la sécurité des comptes utilisateurs et donc des données qu’ils manipulaient était souvent faible. Car seuls les mots de passe de l’utilisateur constituaient une barrière à l’accès à ces comptes et données, même les plus sensibles. Une vulnérabilité d’autant plus évidente dans la mesure où ces mots de passe restent malheureusement aujourd’hui encore généralement trop simples et réutilisés sur plusieurs plateformes avec un mélange entre usages personnels et professionnels.
Une aubaine pour les cyber-criminels qui percent ce niveau de défense que ce soit par l’utilisation de dictionnaires de mot de passe (bruteforce) ou au travers d’une stratégie de guessing peu sophistiquée (c’est à dire tenter de deviner le mot de passe en se basant sur des données disponibles publiquement). Dans les cas les plus extrêmes, il n’est pas rare de trouver des bases de données non chiffrées contenant des jeux d’identifiants/mots de passe sur des forums. Une mine d’or pour les cyber-criminels et apprentis script-kiddies qui n’avaient qu’à tenter de les rejouer sur les comptes de réseaux sociaux et autres webmails.
De ce fait, les entreprises étaient régulièrement confrontées à de nombreux problèmes de sécurité, comme la compromission de comptes utilisateurs, l’usurpation d’identité et l’exfiltration de données.
La 2FA, une méthode d’authentification essentielle à la sécurité des entreprises
Selon le Data Breach Report 2022, 82% des compromissions sont basées sur des techniques d’ingénierie sociale ou sur l’utilisation d’une vulnérabilité humaine. Pour faire face à ce fléau, le renforcement de l’étape d’authentification s’impose aujourd’hui comme une nécessité.
Comme une seule information (le « ce que je sais ») ne suffit plus, la bonne pratique de sécurité impose de coupler ce facteur à un autre (tel que « ce que je suis » ou « ce que je possède »). Dans le cadre de l’authentification à double facteur, c’est généralement un porte-clé générant un code à usage unique qui est employé. C’est ainsi que le système de « token », développé par la société RSA, a posé les bases de la cybersécurité moderne. Introduit sur le marché en 1986, ce dispositif matériel, telle une petite calculatrice, génère un code de sécurité temporaire à usage unique. Par la suite, le token physique a laissé la place au token dématérialisé.
Mais si les entreprises adoptent massivement la 2FA comme une bonne pratique de cybersécurité, cette méthode montre cependant des limites.
Les limites de l’authentification à double facteur
L’évolution des techniques d’attaques contournant la vérification à deux facteurs
Au cours des dernières années, les cyber-criminels ont développé des techniques sophistiquées pour contourner l'authentification à double facteur. Dès 2018, le célèbre hacker Kévin Mitnick alertait sur le sujet dans une vidéo publiée sur YouTube. L’une des méthodes les plus fréquentes consiste pour un cyber-criminel à créer un site web malveillant à l’aide de kits de phishing prêts à l’emploi. Celui-ci utilise alors une page de connexion factice pour collecter les informations d'identification des utilisateurs, comme le code ou le cookie de session. Une méthode redoutable puisque la victime est redirigée vers le site légitime de manière transparente, sans se rendre compte de la supercherie. D’autres techniques plus complexes sont également utilisées comme l’ingénierie sociale sophistiquée pour convaincre une victime de divulguer son code d’authentification à usage unique, à travers des techniques de deepvoice ou de réorientation d’appel téléphonique vers des numéros frauduleux.
Les cyber-criminels peuvent également contourner la double authentification par force brute, en essayant toutes les combinaisons possibles de code de sécurité de manière automatisée. Mais en pratique, ces attaques sont relativement rares car elles nécessitent du temps et sont rendues inefficaces par des règles de verrouillage des tentatives de connexion. Encore plus rares mais tout aussi redoutables, les attaques Man-In-The-Middle mettent en œuvre des techniques sophistiquées pour intercepter le code 2FA en se plaçant au cœur des communications entre l’utilisateur et l’application. Les attaques de type SIM Swapping permettent par exemple de récupérer les SMS de confirmation de 2FA de la victime en ayant bénéficié frauduleusement de la portabilité du numéro de portable auprès de l'opérateur téléphonique. Autant d’alternatives au vol physique d’un ordinateur ou téléphone portable.
Des exemples de contournement de l’authentification à double facteur
En 2018, en parallèle de Kévin Mitnick, Amnesty International alertait déjà sur les faiblesses de la 2FA. Le service Amnesty Tech avait investigué sur une vaste campagne de phishing sophistiquée ciblant les journalistes et défenseurs des droits de l’Homme au Moyen-Orient et en Afrique du Nord. Les cyber-criminels avaient alors recréé des pages d’authentification de Google et de Yahoo. Une fois que l’utilisateur renseignait son adresse e-mail, l’interface malveillante lui demandait le code d'authentification à 6 chiffres qui venait de lui être envoyé par sms. Connaissant désormais les identifiants et les deux facteurs de vérification, les attaquants avaient alors accès au compte de messagerie de leur victime.
Dans la même année, le réseau social Reddit a également subi une cyberattaque contournant la vérification par double facteur en interceptant des codes d’authentification par SMS de certains de ses employés. Même si les cyber-criminels n’ont pas pu modifier des données sur la plateforme, ils ont néanmoins eu accès en lecture seule à des éléments de code source, des fichiers de logs et sauvegardes.
Selon Microsoft, une vaste campagne de spear-phishing aurait ciblé plus de 10 000 entreprises sur la période de septembre 2021 à janvier 2022. Appelé AiTM phishing (Adversary-In-The-Middle), ce mode opératoire consiste à rediriger la victime sur une fausse page de connexion d’un service de la firme américaine et de lui subtiliser le cookie de connexion. Ainsi, le cyber-criminel a ensuite la liberté d’envoyer des e-mails de spear-phishing depuis la messagerie de la victime. Ce cas de figure est l’un des plus difficiles à détecter puisque l’e-mail frauduleux est envoyé depuis l’infrastructure de Microsoft elle-même, bénéficiant ainsi de la réputation des IP Microsoft et de la configuration par défaut du domaine (SPF / DKIM). Ce qui rend inopérantes toutes les méthodes de détection d’e-mail de phishing basées sur des listes de réputations d’IP et de domaines….
L’authentification à double facteur est-elle encore fiable ?
À la lecture de ces éléments, la question se pose : la double authentification est-elle encore fiable ? Dans les faits, oui tant elle est infiniment plus fiable qu’un simple mot de passe. Mais pour faire face à un possible contournement, il est impératif de la renforcer par des mesures supplémentaires.
Vers l’authentification multi-facteurs
Pour durcir la sécurité des accès, il est possible de multiplier les facteurs de vérification en adoptant l’authentification multi-facteurs (MFA). L’authentification multi-facteurs requiert l’utilisation de plusieurs éléments de preuves pour permettre l’accès à l’entité (une personne ou une machine) qui se connecte.
Classés en trois catégories dans les recommandations officielles de l’ANSSI, ces facteurs peuvent être de différentes natures comme :
- Les facteurs de connaissance, comme un mot de passe ou une question de sécurité ;
- Les facteurs de possession, c’est-à-dire un jeton de sécurité physique (une carte à puce, une clé SecurID) ou numérique (un téléphone, une application mobile) qui génère un code unique et temporaire (OTP) ;
- Les facteurs inhérents, comme des éléments biométriques à savoir l’ADN, les empreintes digitales, l’empreinte rétinienne, la reconnaissance faciale, la reconnaissance vocale.
Vers le renforcement des canaux de communication
Pour toujours plus de sécurité, plusieurs solutions ont déjà émergé. Comme l'authentification out-of-band (OOBA) qui demande une vérification de l’utilisateur via deux canaux de communication différents. Dans ce cas, un facteur pourrait être par exemple communiqué via un réseau Ethernet tandis qu’un autre transiterait par le réseau 4G. Une séparation des canaux pour une sécurité renforcée. L’utilisation d’une technologie de deep voice detection est une autre piste, qui permet, elle, de détecter les voix générées par IA. Mais de telles techniques restent encore marginales, dues à leur coût de mise en œuvre.
Il est donc important de prendre conscience que la 2FA et la MFA dans une moindre mesure peuvent s’avérer vulnérables face à des cyberattaques très sophistiquées. Pour autant, ajouter un second facteur d’authentification – même faible – ne rend pas plus vulnérable que de n’avoir qu’un seul facteur. Ces méthodes d’authentification ne sont donc pas devenues has-been puisqu’elles permettent de stopper une majorité des cyberattaques communément rencontrées. La bonne implémentation de l’authentification à double facteur reste un facteur clé pour s’assurer d’un certain (bon) niveau de sécurité des accès dans l’entreprise. Néanmoins, l’adoption d’un troisième, voire d’un quatrième facteur d’authentification à destination d’un public ciblé (administrateur système et autres VIP de l’entreprise) et la multiplication des canaux de communication peuvent permettre de réduire encore les vulnérabilités de l’authentification. Comme souvent, tout est ici une question de gestion des risques et du niveau d’investissement pour le réduire.
