L’authentification à deux facteurs par SMS : une passoire

L’authentification à deux facteurs par SMS : une passoire
À cause des failles du protocole de signalisation réseau SS7

L’authentification à deux facteurs est devenue essentielle au cours des années pour sécuriser les comptes en ligne qui contiennent de plus en plus de données personnelles. C’est donc sans surprise que de nombreux services en ligne la proposent à leurs utilisateurs. S’il est conseillé de l’activer pour pouvoir dormir sur ses deux oreilles, il ne faudrait pas trop en faire pour autant. Des chercheurs en sécurité de Positive Technologies ont en effet montré comment ils peuvent s’approprier n’importe quel compte en ligne en cassant ce mécanisme de protection.

Petite précision d’entrée de jeu : il s’agit ici d’authentification à deux facteurs par SMS. Le processus est connu ; pour activer la validation en deux étapes, l’utilisateur doit fournir un numéro de téléphone en plus de l'identifiant et du mot de passe déjà introduits lors de la création d’un compte Gmail par exemple. Une fois ce numéro vérifié, l’utilisateur peut activer l’authentification à deux facteurs par SMS sur ledit compte. La mesure permet d’éviter qu’un attaquant qui possède le nom d’utilisateur et le mot de passe du compte ne puisse accéder à ce dernier depuis son poste de travail. En effet, passé le premier rideau de protection (le couple nom d’utilisateur et mot de passe), le cybercriminel doit fournir un code envoyé par le service en ligne sur le numéro de téléphone associé au compte.

La mesure s’avère également utile pour « récupérer » son compte dans le cas de la perte des détails du premier bouclier de protection. La plupart des services en ligne proposent alors une procédure de récupération du compte par SMS. (Concrètement, il est question que le service en ligne envoie des informations texte de récupération de compte vers le numéro lié à ce dernier.) Cet état de choses suppose en effet qu’un tiers qui a connaissance du numéro de téléphone lié au compte peut se mêler à la distance. Comment ? En exploitant les failles du protocole SS7 utilisé pour la signalisation sur les réseaux de télécommunication.

Dans leur vidéo de démonstration, les chercheurs de Positive Technologies ont tour à tour montré comment prendre possession du compte Gmail d’un tiers puis, du portefeuille Bitcoin lié à ce dernier. Le visuel vaut mieux que mille mots…

https://www.youtube.com/watch?v=G-ApyDaioHo

Le nœud du problème ici est, semble-t-il, le protocole SS7. En 2014 lors du Chaos Communication Congress à Hambourg en Allemagne, des chercheurs en sécurité ont fait état des failles qu’il exhibe. Il est connu depuis lors qu’il permet de géolocaliser des téléphones et d’intercepter des communications vocales et textuelles. « À partir du moment où vous avez accès au réseau, il n'y a quasiment plus aucun mécanisme de sécurité », expliquait alors Tobias Engel, l’un des deux chercheurs s’exprimant à ce sujet.

L’infrastructure SS7 n’est en principe accessible qu’aux entreprises de télécommunications. Mais comme l’explique Denis Kurbatov de la firme Positive Technologies, des cybercriminels peuvent y accéder via des plateformes sur le dark web. Cet état de choses déplace le problème des cybercriminels aux opérateurs de télécommunication. Un protocole qui date des années 80 et exhibe autant de failles ne devrait plus être utilisé. En attendant que les opérateurs de télécommunications ne réagissent dans ce sens, les utilisateurs sont informés qu’ils peuvent opter pour l’authentification à deux facteurs sans SMS via des clés physiques de protection de leurs comptes en ligne ou des applications comme Google Authenticator.

Source : Forbes

Et vous ?

:fleche: Qu’en pensez-vous ?

:fleche: Comment expliquer que les opérateurs de télécommunication n’ont pas opéré de modifications de ce protocole depuis lors ?

Voir aussi :

:fleche: Des chercheurs allemands découvrent une faille dans le réseau mobile qui permet d'écouter des conversations téléphoniques et d'intercepter des SMS