{"id":397862,"date":"2023-05-03T07:00:59","date_gmt":"2023-05-03T06:00:59","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=397862"},"modified":"2024-04-24T10:34:00","modified_gmt":"2024-04-24T09:34:00","slug":"authentification-double-facteur-est-elle-deja-has-been","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/authentification-double-facteur-est-elle-deja-has-been\/","title":{"rendered":"L\u2019authentification \u00e0 double facteur est-elle d\u00e9j\u00e0 has been ?"},"content":{"rendered":"

\"Les<\/p>\n

Utilis\u00e9e depuis les ann\u00e9es 80 dans le secteur bancaire, l\u2018authentification \u00e0 double facteur, \u00e9galement connue sous l\u2019acronyme 2FA (Two-Factor Authentication<\/em>), s\u2019est largement r\u00e9pandue ces derni\u00e8res ann\u00e9es dans le but de renforcer la s\u00e9curit\u00e9 des comptes utilisateurs et de leurs donn\u00e9es. Il n\u2019est pas rare de voir cette m\u00e9thode d\u2019authentification \u00eatre prise pour cible par les cybercriminels.<\/strong><\/p>\n

Quelles sont ces m\u00e9thodes de contournement\u00a0? Quelles sont les limites de la double authentification\u00a0? Au travers d\u2019exemples concrets, d\u00e9couvrons si cette m\u00e9thode d\u2019authentification peut encore \u00eatre consid\u00e9r\u00e9e comme fiable.<\/p>\n

 <\/p>\n

L\u2019authentification \u00e0 double facteur, un incontournable de la s\u00e9curit\u00e9 en entreprise<\/strong><\/h2>\n

L\u2019\u00e9tat de la s\u00e9curit\u00e9 dans les entreprises avant l\u2019\u00e9mergence de l\u2019authentification \u00e0 double facteur<\/h3>\n

Avant la popularisation de la 2FA, la s\u00e9curit\u00e9 des comptes utilisateurs et donc des donn\u00e9es qu\u2019ils manipulaient \u00e9tait souvent faible. Car seuls les mots de passe de l\u2019utilisateur constituaient une barri\u00e8re \u00e0 l\u2019acc\u00e8s \u00e0 ces comptes et donn\u00e9es, m\u00eame les plus sensibles. Une vuln\u00e9rabilit\u00e9 d\u2019autant plus \u00e9vidente dans la mesure o\u00f9 ces mots de passe restent malheureusement aujourd\u2019hui encore g\u00e9n\u00e9ralement trop simples et r\u00e9utilis\u00e9s sur plusieurs plateformes avec un m\u00e9lange entre usages personnels et professionnels.<\/p>\n

Une aubaine pour les cyber-criminels qui percent ce niveau de d\u00e9fense que ce soit par l\u2019utilisation de dictionnaires de mot de passe (bruteforce<\/em>) ou au travers d\u2019une strat\u00e9gie de guessing <\/em>peu sophistiqu\u00e9e (c\u2019est \u00e0 dire tenter de deviner le mot de passe en se basant sur des donn\u00e9es disponibles publiquement). Dans les cas les plus extr\u00eames, il n\u2019est pas rare de trouver des bases de donn\u00e9es non chiffr\u00e9es contenant des jeux d\u2019identifiants\/mots de passe sur des forums. Une mine d\u2019or pour les cyber-criminels et apprentis script-kiddies<\/em> qui n\u2019avaient qu\u2019\u00e0 tenter de les rejouer sur les comptes de r\u00e9seaux sociaux et autres webmails.<\/p>\n

De ce fait, les entreprises \u00e9taient r\u00e9guli\u00e8rement confront\u00e9es \u00e0 de nombreux probl\u00e8mes de s\u00e9curit\u00e9, comme la compromission de comptes utilisateurs, l\u2019usurpation d\u2019identit\u00e9 et l\u2019exfiltration de donn\u00e9es<\/strong>.<\/p>\n

La 2FA, une m\u00e9thode d\u2019authentification essentielle \u00e0 la s\u00e9curit\u00e9 des entreprises<\/h3>\n

Selon le Data Breach Report 2022<\/a>, 82% des compromissions sont bas\u00e9es sur des techniques d\u2019ing\u00e9nierie sociale ou sur l\u2019utilisation d\u2019une vuln\u00e9rabilit\u00e9 humaine<\/strong>. Pour faire face \u00e0 ce fl\u00e9au, le renforcement de l\u2019\u00e9tape d\u2019authentification s\u2019impose aujourd\u2019hui comme une n\u00e9cessit\u00e9.<\/p>\n

Comme une seule information (le \u00ab\u00a0ce que je sais\u00a0\u00bb) ne suffit plus, la bonne pratique de s\u00e9curit\u00e9 impose de coupler ce facteur \u00e0 un autre (tel que \u00ab\u00a0ce que je suis\u00a0\u00bb ou \u00ab\u00a0ce que je poss\u00e8de\u00a0\u00bb). Dans le cadre de l\u2019authentification \u00e0 double facteur, c\u2019est g\u00e9n\u00e9ralement un porte-cl\u00e9 g\u00e9n\u00e9rant un code \u00e0 usage unique qui est employ\u00e9. C\u2019est ainsi que le syst\u00e8me de \u00ab\u00a0token\u00a0\u00bb, d\u00e9velopp\u00e9 par la soci\u00e9t\u00e9 RSA, a pos\u00e9 les bases de la cybers\u00e9curit\u00e9 moderne. Introduit sur le march\u00e9 en 1986, ce dispositif mat\u00e9riel, telle une petite calculatrice, g\u00e9n\u00e8re un code de s\u00e9curit\u00e9 temporaire \u00e0 usage unique. Par la suite, le token physique a laiss\u00e9 la place au token d\u00e9mat\u00e9rialis\u00e9.<\/p>\n

Mais si les entreprises adoptent massivement la 2FA comme une bonne pratique de cybers\u00e9curit\u00e9, cette m\u00e9thode montre cependant des limites.<\/p>\n

 <\/p>\n

Les limites de l\u2019authentification \u00e0 double facteur<\/strong><\/h2>\n

L\u2019\u00e9volution des techniques d\u2019attaques contournant la v\u00e9rification \u00e0 deux facteurs<\/h3>\n

Au cours des derni\u00e8res ann\u00e9es, les cyber-criminels ont d\u00e9velopp\u00e9 des techniques sophistiqu\u00e9es pour contourner l'authentification \u00e0 double facteur. D\u00e8s 2018, le c\u00e9l\u00e8bre hacker K\u00e9vin Mitnick alertait sur le sujet dans une vid\u00e9o publi\u00e9e sur YouTube<\/a>. L\u2019une des m\u00e9thodes les plus fr\u00e9quentes consiste pour un cyber-criminel \u00e0 cr\u00e9er un site web malveillant \u00e0 l\u2019aide de kits de phishing pr\u00eats \u00e0 l\u2019emploi. Celui-ci utilise alors une page de connexion factice pour collecter les informations d'identification des utilisateurs, comme le code ou le cookie de session. Une m\u00e9thode redoutable puisque la victime est redirig\u00e9e vers le site l\u00e9gitime de mani\u00e8re transparente, sans se rendre compte de la supercherie. D\u2019autres techniques plus complexes sont \u00e9galement utilis\u00e9es comme l\u2019ing\u00e9nierie sociale sophistiqu\u00e9e pour convaincre une victime de divulguer son code d\u2019authentification \u00e0 usage unique, \u00e0 travers des techniques de deepvoice<\/em><\/a> ou de r\u00e9orientation d\u2019appel t\u00e9l\u00e9phonique vers des num\u00e9ros frauduleux.<\/p>\n

Les cyber-criminels peuvent \u00e9galement contourner la double authentification<\/strong> par force brute, en essayant toutes les combinaisons possibles de code de s\u00e9curit\u00e9 de mani\u00e8re automatis\u00e9e. Mais en pratique, ces attaques sont relativement rares car elles n\u00e9cessitent du temps et sont rendues inefficaces par des r\u00e8gles de verrouillage des tentatives de connexion. Encore plus rares mais tout aussi redoutables, les attaques Man-In-The-Middle<\/em> mettent en \u0153uvre des techniques sophistiqu\u00e9es pour intercepter le code 2FA en se pla\u00e7ant au c\u0153ur des communications entre l\u2019utilisateur et l\u2019application. Les attaques de type SIM Swapping<\/em> permettent par exemple de r\u00e9cup\u00e9rer les SMS de confirmation de 2FA de la victime en ayant b\u00e9n\u00e9fici\u00e9 frauduleusement de la portabilit\u00e9 du num\u00e9ro de portable aupr\u00e8s de l'op\u00e9rateur t\u00e9l\u00e9phonique. Autant d\u2019alternatives au vol physique d\u2019un ordinateur ou t\u00e9l\u00e9phone portable.<\/p>\n

Des exemples de contournement de l\u2019authentification \u00e0 double facteur<\/h3>\n

En 2018, en parall\u00e8le de K\u00e9vin Mitnick, Amnesty International alertait d\u00e9j\u00e0 sur les faiblesses de la 2FA<\/a>. Le service Amnesty Tech avait investigu\u00e9 sur une vaste campagne de phishing sophistiqu\u00e9e ciblant les journalistes et d\u00e9fenseurs des droits de l\u2019Homme au Moyen-Orient et en Afrique du Nord. Les cyber-criminels avaient alors recr\u00e9\u00e9 des pages d\u2019authentification de Google et de Yahoo. Une fois que l\u2019utilisateur renseignait son adresse e-mail, l\u2019interface malveillante lui demandait le code d'authentification \u00e0 6\u00a0chiffres qui venait de lui \u00eatre envoy\u00e9 par sms. Connaissant d\u00e9sormais les identifiants et les deux facteurs de v\u00e9rification, les attaquants avaient alors acc\u00e8s au compte de messagerie de leur victime.<\/p>\n

Dans la m\u00eame ann\u00e9e, le r\u00e9seau social Reddit a \u00e9galement subi une cyberattaque contournant la v\u00e9rification par double facteur<\/a> en interceptant des codes d\u2019authentification par SMS de certains de ses employ\u00e9s. M\u00eame si les cyber-criminels n\u2019ont pas pu modifier des donn\u00e9es sur la plateforme, ils ont n\u00e9anmoins eu acc\u00e8s en lecture seule \u00e0 des \u00e9l\u00e9ments de code source, des fichiers de logs et sauvegardes.<\/p>\n

Selon Microsoft<\/a>, une vaste campagne de spear-phishing aurait cibl\u00e9 plus de 10\u00a0000 entreprises sur la p\u00e9riode de septembre 2021 \u00e0 janvier 2022. Appel\u00e9 AiTM phishing (Adversary-In-The-Middle<\/em>), ce mode op\u00e9ratoire consiste \u00e0 rediriger la victime sur une fausse page de connexion d\u2019un service de la firme am\u00e9ricaine et de lui subtiliser le cookie de connexion. Ainsi, le cyber-criminel a ensuite la libert\u00e9 d\u2019envoyer des e-mails de spear-phishing depuis la messagerie de la victime. Ce cas de figure est l\u2019un des plus difficiles \u00e0 d\u00e9tecter puisque l\u2019e-mail frauduleux est envoy\u00e9 depuis l\u2019infrastructure de Microsoft elle-m\u00eame, b\u00e9n\u00e9ficiant ainsi de la r\u00e9putation des IP Microsoft et de la configuration par d\u00e9faut du domaine (SPF \/ DKIM). Ce qui rend inop\u00e9rantes toutes les m\u00e9thodes de d\u00e9tection d\u2019e-mail de phishing bas\u00e9es sur des listes de r\u00e9putations d\u2019IP et de domaines\u2026.<\/p>\n

 <\/p>\n

L\u2019authentification \u00e0 double facteur est-elle encore fiable\u00a0?<\/strong><\/h2>\n

\u00c0 la lecture de ces \u00e9l\u00e9ments, la question se pose\u00a0: la double authentification est-elle encore fiable\u00a0?<\/strong> Dans les faits, oui tant elle est infiniment plus fiable qu\u2019un simple mot de passe. Mais pour faire face \u00e0 un possible contournement, il est imp\u00e9ratif de la renforcer par des mesures suppl\u00e9mentaires.<\/p>\n

Vers l\u2019authentification multi-facteurs<\/h3>\n

Pour durcir la s\u00e9curit\u00e9 des acc\u00e8s, il est possible de multiplier les facteurs de v\u00e9rification en adoptant l\u2019authentification multi-facteurs (MFA)<\/strong>. L\u2019authentification multi-facteurs requiert l\u2019utilisation de plusieurs \u00e9l\u00e9ments de preuves pour permettre l\u2019acc\u00e8s \u00e0 l\u2019entit\u00e9 (une personne ou une machine) qui se connecte.<\/p>\n

Class\u00e9s en trois cat\u00e9gories dans les recommandations officielles de l\u2019ANSSI<\/a>, ces facteurs peuvent \u00eatre de diff\u00e9rentes natures comme\u00a0:<\/p>\n