Il est maintenant bien connu que les noms d'utilisateur et les mots de passe ne suffisent pas pour accéder en toute sécurité aux services en ligne. Une étude récente a mis en évidence que plus de 80 % de toutes les violations liées au piratage sont dues à des informations d'identification compromises et faibles, avec trois milliards de combinaisons nom d'utilisateur/mot de passe volées rien qu'en 2016.

Ainsi, la mise en place de l'authentification à deux facteurs (2FA) est devenue une nécessité. Généralement, 2FA vise à fournir une couche de sécurité supplémentaire au système de nom d'utilisateur/mot de passe relativement vulnérable.

Cela fonctionne aussi. Les chiffres suggèrent que les utilisateurs qui ont activé 2FA ont fini par bloquer environ 99,9 % des attaques automatisées.

Mais comme pour toute bonne solution de cybersécurité, les attaquants peuvent rapidement trouver des moyens de la contourner. Ils peuvent contourner 2FA via les codes à usage unique envoyés sous forme de SMS au smartphone d'un utilisateur.

Pourtant, de nombreux services en ligne essentiels en Australie utilisent encore des codes à usage unique par SMS, notamment myGov et les 4 grandes banques :ANZ, Commonwealth Bank, NAB et Westpac.

Alors, quel est le problème avec les SMS ?

Les principaux fournisseurs tels que Microsoft ont exhorté les utilisateurs à abandonner les solutions 2FA qui exploitent les SMS et les appels vocaux. En effet, SMS est réputé pour avoir une sécurité notoirement médiocre, le laissant ouvert à une multitude d'attaques différentes.

Par exemple, l'échange de cartes SIM a été démontré comme un moyen de contourner 2FA. L'échange de carte SIM implique qu'un attaquant convainque le fournisseur de services mobiles d'une victime qu'il est lui-même la victime, puis demande que le numéro de téléphone de la victime soit commuté sur un appareil de son choix.

Il a également été démontré que les codes à usage unique basés sur SMS sont compromis par des outils facilement disponibles tels que Modlishka en tirant parti d'une technique appelée proxy inverse. Cela facilite la communication entre la victime et un service usurpé.

Ainsi, dans le cas de Modlishka, il interceptera la communication entre un service authentique et une victime et suivra et enregistrera les interactions des victimes avec le service, y compris les identifiants de connexion qu'elles peuvent utiliser).

En plus de ces vulnérabilités existantes, notre équipe a trouvé des vulnérabilités supplémentaires dans 2FA basé sur SMS. Une attaque particulière exploite une fonctionnalité fournie sur le Google Play Store pour installer automatiquement des applications du Web sur votre appareil Android.

Si un attaquant a accès à vos informations d'identification et parvient à se connecter à votre compte Google Play sur un ordinateur portable (bien que vous receviez une invite), il peut alors installer automatiquement l'application de son choix sur votre smartphone.

L'attaque contre Android

Nos expériences ont révélé qu'un acteur malveillant peut accéder à distance à l'A2F par SMS d'un utilisateur avec peu d'effort, grâce à l'utilisation d'une application populaire (nom et type masqués pour des raisons de sécurité) conçue pour synchroniser les notifications de l'utilisateur sur différents appareils.

Plus précisément, les attaquants peuvent exploiter une combinaison e-mail/mot de passe compromise connectée à un compte Google (tel que [email protected]) pour installer de manière malveillante une application de mise en miroir de messages facilement disponible sur le smartphone d'une victime via Google Play.

Il s'agit d'un scénario réaliste car il est courant que les utilisateurs utilisent les mêmes informations d'identification dans une variété de services. L'utilisation d'un gestionnaire de mots de passe est un moyen efficace de sécuriser votre première ligne d'authentification (votre nom d'utilisateur/mot de passe de connexion).

Une fois l'application installée, l'attaquant peut appliquer des techniques simples d'ingénierie sociale pour convaincre l'utilisateur d'activer les autorisations requises pour que l'application fonctionne correctement.

Par exemple, ils peuvent faire semblant d'appeler d'un fournisseur de services légitime pour persuader l'utilisateur d'activer les autorisations. Après cela, ils peuvent recevoir à distance toutes les communications envoyées au téléphone de la victime, y compris les codes à usage unique utilisés pour 2FA.

Bien que plusieurs conditions doivent être remplies pour que l'attaque susmentionnée fonctionne, elle démontre toujours la nature fragile des méthodes 2FA basées sur SMS.

Plus important encore, cette attaque n'a pas besoin de capacités techniques haut de gamme. Cela nécessite simplement de comprendre comment ces applications spécifiques fonctionnent et comment les utiliser intelligemment (avec l'ingénierie sociale) pour cibler une victime.

La menace est encore plus réelle lorsque l'attaquant est une personne de confiance (par exemple, un membre de la famille) ayant accès au smartphone de la victime.

Quelle est l'alternative ?

Pour rester protégé en ligne, vous devez vérifier si votre première ligne de défense est sécurisée. Vérifiez d'abord votre mot de passe pour voir s'il est compromis. Il existe un certain nombre de programmes de sécurité qui vous permettront de le faire. Et assurez-vous d'utiliser un mot de passe bien conçu.

Nous vous recommandons également de limiter l'utilisation des SMS comme méthode 2FA si vous le pouvez. Vous pouvez à la place utiliser des codes à usage unique basés sur des applications, par exemple via Google Authenticator. Dans ce cas, le code est généré dans l'application Google Authenticator sur votre appareil lui-même, plutôt que de vous être envoyé.

Cependant, cette approche peut également être compromise par des pirates utilisant des logiciels malveillants sophistiqués. Une meilleure alternative serait d'utiliser des périphériques matériels dédiés tels que YubiKey.

Il s'agit de petits appareils USB (ou compatibles avec la communication en champ proche) qui offrent un moyen simplifié d'activer 2FA sur différents services.

Ces appareils physiques doivent être branchés ou placés à proximité d'un appareil de connexion dans le cadre de 2FA, atténuant ainsi les risques associés aux codes visibles à usage unique, tels que les codes envoyés par SMS.

Il convient de souligner qu'une condition sous-jacente à toute alternative 2FA est que l'utilisateur lui-même doit avoir un certain niveau de participation active et de responsabilité.

Dans le même temps, des travaux supplémentaires doivent être menés par les fournisseurs de services, les développeurs et les chercheurs pour développer des méthodes d'authentification plus accessibles et sécurisées.

Essentiellement, ces méthodes doivent aller au-delà de 2FA et vers un environnement d'authentification multifacteur, où plusieurs méthodes d'authentification sont simultanément déployées et combinées selon les besoins.