Securitywatch: l'authentification à deux facteurs vous rend-elle vraiment plus sûre?

Cette semaine, je replonge dans mon sac postal sans fond pour aborder une autre question sur l'authentification à deux facteurs (2FA). C'est un sujet que j'ai déjà abordé auparavant, mais à en juger par le volume et la spécificité des questions que j'ai reçues à ce sujet, il s'agit clairement d'un problème auquel beaucoup de personnes réfléchissent. Puisque je considère que 2FA est peut-être la meilleure chose que les gens ordinaires puissent faire pour rester en sécurité en ligne, je suis ravi de pouvoir en parler sans fin.

La question d'aujourd'hui vient de Ted, qui a écrit pour demander si les systèmes 2FA sont vraiment tout ce qu'ils sont censés être. Veuillez noter que la lettre de Ted a été modifiée par souci de concision. Ted commence son message en faisant référence à certains de mes autres écrits sur 2FA.

Vous avez écrit "Une fois que vous avez inscrit votre clé de sécurité, les codes d'authentification SMS constitueront une option de sauvegarde en cas de perte ou d'empêchement de votre clé." Si cela est vrai, alors pourquoi cet appareil est-il plus sécurisé qu'un code SMS 2FA? Comme vous l'avez également écrit, "Mais les téléphones peuvent être volés et le raccordement de la carte SIM est apparemment une chose dont nous devons nous préoccuper maintenant."

Qu'est-ce qui empêche une personne de dire à Google qu'elle est vous-même, a perdu la clé de sécurité et a besoin d'un code SMS envoyé à votre téléphone volé / enfiché? Si je comprends bien, cet appareil n’est alors pas plus sûr que les textes SMS de 2FA. C'est beaucoup plus pratique, c'est sûr, mais je ne vois pas en quoi c'est plus sécurisé.

Le résultat de tout cela est-il que la clé de sécurité augmentera votre sécurité, mais uniquement parce que vous êtes plus susceptible de l'utiliser, et non pas parce qu'elle est intrinsèquement plus sécurisée que 2FA? Qu'est-ce que je rate?

Tu ne manque de rien, Ted. En fait, il est judicieux de relever un problème fondamental qui sous-tend une grande partie de la sécurité entourant l'authentification en ligne: comment vérifier en toute sécurité qui sont les personnes, sans les empêcher de récupérer leurs comptes?

Les bases du 2FA

Voyons d'abord quelques notions de base. L'authentification à deux facteurs, ou 2FA, est un concept de sécurité dans lequel vous devez présenter deux preuves d'identité, appelées facteurs, à partir d'une liste de trois possibles.

• Quelque chose que vous connaissez , tel qu'un mot de passe.

• Quelque chose que vous avez , comme un téléphone.

• Quelque chose que vous êtes , comme votre empreinte digitale.

En termes pratiques, 2FA signifie souvent une deuxième chose à faire après avoir entré votre mot de passe pour vous connecter à un site ou à un service. Le mot de passe est le premier facteur, et le second peut être soit un message SMS envoyé à votre téléphone avec un code spécial, soit l’utilisation du FaceID d’Apple sur un iPhone. L'idée est que, même si un mot de passe peut être deviné ou volé, il est moins probable qu'un attaquant puisse obtenir à la fois votre mot de passe et votre deuxième facteur.

Dans sa lettre, Ted pose une question spécifique sur les clés 2FA matérielles. La série YubiKey de Yubico est probablement l'option la plus connue, mais elle est loin d'être la seule. Google a ses propres clés de sécurité Titan et Nitrokey propose une clé open source, pour n'en nommer que deux.

Les pièges pratiques

Aucun système de sécurité n'est parfait, et 2FA n'est pas différent. Guemmy Kim, responsable de la gestion des produits pour l'équipe chargée de la sécurité des comptes de Google, a souligné à juste titre que de nombreux systèmes sur lesquels nous nous appuyons pour la récupération des comptes et le logiciel 2FA sont sensibles au phishing. C'est là que les méchants utilisent de faux sites pour vous amener à saisir des informations privées.

Un attaquant intelligent pourrait potentiellement infecter votre téléphone avec un cheval de Troie d'accès distant qui leur permettrait de visualiser, voire d'intercepter les codes de vérification SMS envoyés à votre appareil. Ils pourraient également créer une page de phishing convaincante pour vous inciter à saisir un code unique généré à partir d'une application telle que Google Authenticator. Même mon option privilégiée de codes de sauvegarde papier pourrait être interceptée par un site de phishing qui m'a trompé pour que je saisisse un code.

L’une des attaques les plus exotiques est la connexion SIM, qui permet à un attaquant de cloner votre carte SIM ou de demander à votre compagnie de téléphone de désenregistrer votre carte SIM, afin d’intercepter vos messages SMS. Dans ce scénario, l'attaquant pourrait très bien se faire passer pour vous, puisqu'il pourrait utiliser votre numéro de téléphone comme son propre numéro.

Une attaque pas si exotique est tout simplement une vieille perte et un vol. Si votre téléphone ou une application sur votre téléphone est votre authentificateur principal et que vous le perdez, vous aurez mal à la tête. La même chose est vraie pour les clés matérielles. Bien que les clés de sécurité matérielles, telles que Yubico YubiKey, soient difficiles à casser, elles sont très faciles à perdre.

Le Yubicoy Series 5 de Yubico est disponible dans de nombreuses configurations différentes.

Le problème de la récupération de compte

Ce que Ted souligne dans sa lettre, c'est que de nombreuses entreprises vous demandent de configurer une seconde méthode 2FA, en plus d'une clé de sécurité matérielle. Par exemple, pour utiliser Google, vous devez utiliser SMS, installer l'application Authenticator de la société ou inscrire votre appareil pour recevoir des notifications push de Google confirmant votre compte. Vous semblez avoir besoin d'au moins une de ces trois options en tant que sauvegarde de toute autre option 2FA que vous utilisez, telle que les clés Titan de Google.

Même si vous inscrivez une deuxième clé de sécurité en tant que sauvegarde, vous devez toujours activer les notifications par SMS, Google Authenticator ou Push. Notamment, si vous souhaitez utiliser le programme de protection avancée de Google, il est nécessaire d’enregistrer une deuxième clé.

De même, Twitter requiert également que vous utilisiez soit des codes SMS, soit une application d'authentification, en plus d'une clé de sécurité matérielle en option. Malheureusement, Twitter ne vous permet d'inscrire qu'une clé de sécurité à la fois.

Comme Ted l'a souligné, ces méthodes alternatives sont techniquement moins sécurisées que l'utilisation d'une clé de sécurité. Je ne peux que deviner pourquoi ces systèmes ont été mis en place de cette façon, mais je suppose qu'ils veulent s'assurer que leurs clients peuvent toujours accéder à leurs comptes. Les codes SMS et les applications d'authentification sont des options éprouvées qui sont faciles à comprendre et ne nécessitent pas l'achat d'appareils supplémentaires. Les codes SMS abordent également le problème du vol d’appareils. Si vous perdez votre téléphone ou si vous le volez, vous pouvez le verrouiller à distance, annuler l'autorisation de sa carte SIM et obtenir un nouveau téléphone pouvant recevoir les codes SMS pour se reconnecter.

Personnellement, j'aime disposer de plusieurs options car, bien que je m'inquiète pour la sécurité, je me connais aussi et je sais que je perds ou que je casse les choses assez régulièrement. Je sais que les personnes qui n'ont jamais utilisé 2FA auparavant s'inquiètent beaucoup de se voir bloquées si leur compte est utilisé.

2FA est vraiment très bon

Il est toujours important de comprendre les inconvénients de tout système de sécurité, mais cela n'invalide pas le système. Bien que 2FA ait ses faiblesses, il a énormément de succès.

Encore une fois, il suffit de regarder sur Google. La société a nécessité l’utilisation de clés matérielles 2FA en interne et les résultats parlent d’eux-mêmes. Les prises de contrôle des employés de Google ont effectivement disparu. Cela est particulièrement important étant donné que les employés de Google, avec leur position dans le secteur des technologies et leur richesse (présumée), sont les premiers à lancer des attaques ciblées. C’est là que les assaillants déploient des efforts considérables pour cibler des individus spécifiques lors d’une attaque. C'est rare, et généralement réussi si l'attaquant dispose de suffisamment de fonds et de patience.

L'ensemble de clés de sécurité Google Titan comprend les clés USB-A et Bluetooth.

La mise en garde est que Google exigeait un type spécifique de 2FA: les clés de sécurité matérielles. Celles-ci ont l’avantage sur d’autres systèmes 2FA d’être très difficiles à phish ou à intercepter. Certains pourraient dire impossible, mais j'ai vu ce qui est arrivé au Titanic et je le sais mieux.

Néanmoins, les méthodes d'interception des codes SMS 2FA ou des jetons d'authentification sont assez exotiques et ne s'adaptent pas vraiment bien. Cela signifie qu'ils ne seront probablement pas utilisés par le criminel moyen, qui cherche à gagner de l'argent aussi rapidement et facilement que possible, sur une personne moyenne, comme vous.

Pour rappeler le point de Ted: les clés de sécurité matérielles sont le moyen le plus sûr que nous ayons vu d’effectuer 2FA. Ils sont très difficiles à phish et très difficiles à attaquer, même s’ils ne sont pas dépourvus de leurs faiblesses inhérentes. De plus, les clés matérielles 2FA sont, dans une certaine mesure, prévisibles. De nombreuses entreprises délaissent les codes SMS et certaines ont même adopté des connexions sans mot de passe reposant entièrement sur des clés matérielles 2FA utilisant le standard FIDO2. Si vous utilisez une clé matérielle maintenant, il y a de bonnes chances que vous soyez en sécurité pendant des années.

Le Nitrokey FIDO U2F promet une sécurité open source.

• Authentification à deux facteurs: qui l'a et comment la configurer? Authentification à deux facteurs: qui l'a et comment la configurer
• Google: les attaques de phishing qui peuvent battre deux facteurs sont à la hausse Google: les attaques de phishing qui peuvent battre deux facteurs sont à la hausse
• SecurityWatch: Comment ne pas être verrouillé avec une authentification à deux facteurs SecurityWatch: Comment ne pas être bloqué à une authentification à deux facteurs

Bien que les clés 2FA matérielles soient sécurisées, l'écosystème plus vaste nécessite des compromis afin de ne pas vous bloquer inutilement hors de votre compte. Le 2FA doit être une technologie que les gens utilisent réellement, sinon cela ne vaut rien du tout.

Compte tenu de ce choix, je pense que la plupart des gens utiliseront les options 2FA basées sur les applications et les SMS, car elles sont plus faciles à configurer et efficacement gratuites. Celles-ci ne sont peut-être pas les meilleures options possibles, mais elles fonctionnent très bien pour la plupart des gens. Cela pourrait changer bientôt, cependant, maintenant que Google vous permet d'utiliser un appareil mobile sous Android 7.0 ou une version ultérieure en tant que clé de sécurité matérielle.

Malgré ses limites, 2FA est probablement la meilleure solution pour la sécurité des consommateurs depuis l’antivirus. Il empêche proprement et efficacement certaines des attaques les plus dévastatrices, sans ajouter trop de complexité à la vie des gens. Quelle que soit la méthode choisie, choisissez une méthode qui vous convient. Ne pas utiliser 2FA est beaucoup plus dommageable que d'utiliser une saveur 2FA légèrement moins bonne.