Les autorités fédérales américaines avertissent que l'authentification par SMS n'est pas sûre,
notamment l'Agence pour la cybersécurité et la sécurité des infrastructures

Les autorités fédérales américaines, notamment l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), alertent sur l'insécurité de l'authentification par SMS, jugée vulnérable à l'interception et au phishing. Elles recommandent des solutions plus robustes, comme l'utilisation de communications chiffrées de bout en bout (Signal) et d'authentification forte via des clés de sécurité matérielles FIDO (ex. Yubico, Google Titan). Les SMS restent acceptables uniquement pour l'inscription initiale, mais pas pour un accès continu.

Des conseils spécifiques incluent la sécurisation des téléphones (verrouillage, codes PIN, mises à jour régulières), et l'adoption d'outils comme le mode verrouillage sur iPhone ou Play Protect sur Android. Le remplacement progressif des mots de passe par des passkeys et l'utilisation d'applications d'authentification renforcent la sécurité numérique.

Nom : 123.PNG
Affichages : 4735
Taille : 283,1 Ko

Suite aux récentes révélations du FBI et de la CISA concernant l'infiltration des réseaux américains par le groupe Salt Typhoon et l'avertissement de cesser l'utilisation des SMS, la CISA a publié de nouvelles recommandations pour renforcer la sécurité des communications. Ces conseils, bien que destinés aux fonctionnaires américains, mériteraient une application plus large.

Ils préconisent notamment l’usage exclusif de communications chiffrées de bout en bout, comme Signal, compatibles à la fois avec iPhone et Android, excluant ainsi Google Messages et iMessage. En matière d'authentification, le recours à des dispositifs FIDO résistants au phishing, tels que les clés de sécurité matérielles (Yubico, Google Titan), est recommandé, les clés d'accès FIDO étant une alternative acceptable.

L'Agence pour la cybersécurité et la sécurité des infrastructures a identifié des activités de cyberespionnage menées par des acteurs de la menace affiliés au gouvernement de la République populaire de Chine (RPC) et visant des infrastructures de télécommunications commerciales. Ces activités ont permis de voler des enregistrements d'appels de clients et de compromettre la vie privée d'un nombre limité de personnes très ciblées. Bien qu'elles s'appliquent à tous les publics, ces orientations s'adressent spécifiquement aux personnes « très ciblées » qui occupent des postes gouvernementaux ou politiques de haut niveau et qui sont susceptibles de détenir des informations susceptibles d'intéresser ces acteurs de la menace.

Les SMS sont catégoriquement déconseillés pour l’authentification à deux facteurs (2FA) ou multifactorielle (MFA), en raison de leur vulnérabilité à l’interception et au phishing. Ils peuvent cependant être tolérés pour les inscriptions initiales, mais un autre moyen de 2FA/MFA doit être utilisé pour les accès réguliers.

Le NIST appelle à des alternatives au SMS pour l'authentification

En 2016, le NIST a déclaré que l'envoi de mots de passe à usage unique via SMS n'était pas une méthode sûre en raison du risque élevé d'interception. L'institut a conseillé aux responsables de systèmes de privilégier d'autres moyens d'authentification, qualifiant l'authentification par SMS ou appels vocaux de « méthode obsolète », dont la suppression est envisagée dans les prochaines mises à jour des directives. Les organisations utilisant les SMS pour la 2FA sont invitées à vérifier que les numéros utilisés ne sont pas associés à des services de voix sur IP.

Cependant, de nombreuses entreprises, telles que Google, Twitter et Facebook, continuent d'utiliser les SMS comme option de repli pour la vérification, en complément d'outils plus sécurisés comme Google Authenticator ou les clés matérielles.

Mayank Saha, de Duo Security, note que six mois après l'annonce du NIST, l'utilisation des SMS pour la 2FA n'a pratiquement pas diminué. Duo Security, qui compte parmi ses clients la NASA, Facebook et Toyota, rapporte que la proportion de trafic utilisant les SMS pour la 2FA reste stable, oscillant entre 6 % et 8 %, malgré les recommandations du NIST.

Saha observe que, bien que les SMS perdent lentement en popularité, les directives du NIST n'ont pas accéléré cette transition. Il souligne que des méthodes comme l'authentification par notification push, adoptée par Google en juin, ou les clés USB U2F, sont non seulement plus sûres, mais aussi plus pratiques. Google a d'ailleurs mis en avant ces technologies dans une étude intitulée Security Keys: Practical Cryptographic Second Factors for the Modern Web.

Bien que les SMS soient la méthode de 2FA la plus accessible, car ils ne nécessitent qu'un téléphone avec une carte SIM valide, ils sont également faciles à détourner. Les fraudeurs peuvent manipuler les opérateurs téléphoniques pour transférer des numéros en contournant les contrôles d'identité, ce qui a permis des attaques visant à bloquer les alertes SMS bancaires.

Les recommandations du NIST interviennent quatre ans après qu’un groupe australien du secteur privé, la Communications Alliance, a déjà dénoncé l'insécurité des SMS pour l'authentification à deux facteurs.

La CISA insiste sur l’importance de sécuriser les téléphones

Les cartes SIM et les services des opérateurs via des codes PIN pour protéger contre les attaques telles que le transfert frauduleux de numéro. Des recommandations spécifiques sont formulées selon les systèmes.

Recommandations spécifiques à l'iPhone

  1. Activer le mode verrouillage
    Le mode verrouillage restreint certaines fonctionnalités, applications et sites web, ou les désactive complètement. Cela permet de réduire la surface d’attaque exploitable par des menaces potentielles.
  2. Désactiver l’envoi automatique de SMS en cas d’indisponibilité d’iMessage
    Pour garantir que vos messages bénéficient du chiffrement de bout en bout offert par iMessage, désactivez l’option « Envoyer comme message texte » en accédant à :
    Réglages → Applications → Messages → Désactiver "Envoyer comme message texte".
  3. Sécuriser vos requêtes DNS
    Protégez vos requêtes DNS pour empêcher leur interception ou manipulation par des acteurs malveillants :
    • Utilisez Apple iCloud Private Relay pour bénéficier d’une confidentialité et d’une sécurité accrues ;
    • À défaut, configurez des services DNS chiffrés comme 1.1.1.1 (Cloudflare), 8.8.8.8 (Google) ou 9.9.9.9 (Quad9), qui offrent une alternative gratuite et partielle.

  4. S’inscrire à Apple iCloud Private Relay
    Pour une protection renforcée, inscrivez-vous à Apple iCloud Private Relay (consultez le guide utilisateur iCloud pour les instructions de configuration). Cette fonctionnalité garantit :
    • L’utilisation de DNS sécurisés ;
    • Le masquage des adresses IP ;
    • Une répartition du trafic entre des serveurs contrôlés par Apple et un tiers, minimisant ainsi les risques qu’une seule entité puisse accéder à vos données.
  5. Réviser et restreindre les autorisations des applications
    Dans Réglages → Confidentialité et sécurité, vérifiez les applications qui accèdent à des données sensibles comme la localisation, l’appareil photo ou le microphone. Supprimez ou limitez les autorisations inutiles ou excessives afin de mieux protéger vos informations personnelles.

Recommandations spécifiques à Android

Les recommandations ci-dessous s'adressent spécifiquement aux utilisateurs d'Android et visent à renforcer la protection des communications mobiles.

  1. Choisir des appareils fiables et sécurisés
    • Privilégiez les modèles de fabricants reconnus pour leurs antécédents solides en matière de sécurité et leur engagement à fournir des mises à jour de sécurité sur le long terme ;
    • Consultez des ressources comme la liste des appareils Android recommandés pour les entreprises afin de vérifier leur conformité aux normes de sécurité et de mises à jour ;
    • Optez pour des modèles dotés de fonctionnalités de sécurité matérielle, telles que les enclaves sécurisées ou les modules de sécurité matériels (HSM) ;
    • Préférez les appareils proposant des mises à jour de sécurité mensuelles pendant au moins cinq ans.

  2. Utiliser les services RCS avec chiffrement de bout en bout
    Assurez-vous que le chiffrement de bout en bout est activé lorsque vous utilisez les services de communication riches (RCS), comme Google Messages, pour garantir la confidentialité des échanges.
  3. Configurer un DNS privé sécurisé
    Configurez Android Private DNS pour utiliser des résolveurs réputés et sécurisés, tels que 1.1.1.1 (Cloudflare), 8.8.8.8 (Google) ou 9.9.9.9 (Quad9), afin de protéger vos requêtes DNS contre l’interception et la manipulation.
  4. Activer les connexions sécurisées dans Chrome
    Vérifiez que l’option Toujours utiliser des connexions sécurisées est activée dans le navigateur Chrome. Cette fonction privilégie les connexions HTTPS et réduit les risques liés aux interceptions et manipulations des données lors de la navigation.
  5. Activer la protection renforcée pour la navigation sécurisée
    Confirmez que la fonction Navigation sécurisée avec protection renforcée est activée dans Chrome. Elle offre une couche supplémentaire contre les sites malveillants, les tentatives de phishing et les téléchargements nuisibles. Consultez les guides de Google pour configurer cette fonctionnalité.
  6. Activer Google Play Protect
    Vérifiez que Google Play Protect est activé pour détecter et bloquer les applications malveillantes. Effectuez des analyses régulières et évitez autant que possible les boutiques d’applications tierces ou l’installation d’applications provenant de sources non vérifiées.
  7. Gérer les autorisations des applications
    Accédez à Paramètres → Applications → Gestionnaire d’autorisations pour examiner et limiter les autorisations des applications. Révoquez les accès non nécessaires, notamment pour des données sensibles comme la localisation, l’appareil photo ou le microphone.

Enfin, l’adoption de passkeys, déjà en cours avec des initiatives comme celle de Microsoft visant à éliminer les mots de passe, est mise en avant comme une solution d’avenir. En attendant, les applications d’authentification et les gestionnaires de mots de passe intégrés, comme la nouvelle application Passwords d’Apple, simplifient l’accès sécurisé aux comptes.

Pourquoi les SMS ne suffisent plus face aux cybermenaces

Les recommandations des autorités fédérales américaines, comme celles de la CISA, mettent en lumière les limites des SMS en tant que méthode d'authentification. Bien qu'ils soient pratiques et universels, leur manque de chiffrement et leur vulnérabilité aux attaques de type phishing et interception en font une solution obsolète pour les utilisateurs à risque élevé. En insistant sur des alternatives plus robustes comme les clés matérielles FIDO et les applications d'authentification, ces recommandations alignent les pratiques de sécurité sur les menaces contemporaines, tout en réduisant les risques d'exposition aux cyberattaques.

Cependant, ces orientations ne sont pas exemptes de critiques. La transition vers des solutions comme les clés matérielles ou les applications d'authentification pose des défis pratiques, notamment en termes de gestion des sauvegardes et de récupération des accès en cas de perte ou de panne d’appareil. Bien que certaines applications proposent des mécanismes de sauvegarde, la complexité et les risques liés à la gestion des codes de récupération ou des appareils supplémentaires peuvent freiner leur adoption. Ces solutions nécessitent également une sensibilisation accrue des utilisateurs pour éviter des erreurs qui pourraient compromettre leur accès.

En outre, l’abandon des SMS soulève des questions sur la nécessité d’offrir des alternatives inclusives et accessibles à un large éventail d’utilisateurs, notamment ceux qui ne possèdent pas de smartphones ou de connaissances techniques avancées. L'idée de simplifier les sauvegardes, par exemple en utilisant des codes de récupération au format universel et sécurisé, pourrait être une solution intermédiaire efficace. Cela garantirait une adoption plus large tout en minimisant les barrières technologiques.


Enfin, les préoccupations concernant les portes dérobées imposées par certains gouvernements montrent que la sécurité des outils dépend aussi de leur indépendance face à de potentielles pressions extérieures. Il est crucial de s’assurer que les solutions recommandées respectent des normes de confidentialité strictes, sans compromis qui pourraient les exposer à des abus similaires à ceux dénoncés dans les récentes attaques. Ces recommandations, bien qu’imparfaites, marquent un pas dans la bonne direction pour renforcer la sécurité numérique à une époque où les cybermenaces ne cessent de croître.

Source : CISA

Et vous ?

Quel est votre avis sur le sujet ?

Quels sont les principaux obstacles à la transition généralisée vers des méthodes d'authentification plus robustes comme les clés matérielles FIDO ou les applications d'authentification ?

Les recommandations de la CISA prennent-elles suffisamment en compte les besoins des petites entreprises ou des organisations aux ressources limitées ?

Comment gérer les risques associés à la perte ou au vol de clés matérielles ou d'appareils utilisés pour l'authentification forte ?

La transition vers des méthodes d'authentification avancées peut-elle renforcer la confiance des utilisateurs ou risque-t-elle de susciter des inquiétudes sur la vie privée et la complexité des systèmes ?

Les recommandations actuelles offrent-elles une solution de secours fiable pour les utilisateurs qui perdent l'accès à leurs outils d'authentification principale ?

Voir aussi :

Des chercheurs révèlent une faille dans l'authentification à deux facteurs via SMS : des mots de passe à usage unique divulgués en temps réel
Ils ont eu accès à plus de 200 millions de ces SMS


L'utilisation de la double authentification augmente, les consommateurs recherchant une meilleure protection, 79 % d'utilisateurs en 2021, contre 53 % en 2019 et 28 % en 2017, selon Duo Security

Google souhaite que tous les comptes utilisent l'authentification à deux facteurs, et commence à inscrire obligatoirement les utilisateurs