9th - Août - 2016

La dépréciation des SMS pour l’authentification à deux facteurs 2FA proposée par le NIST pourrait entraîner la non-adoption de la 2FA par 72 pour cent des Américains

Graphic of the profiles of two people connected by gear cogs

Je suis parti en vacances il y a quelques semaines. À mon retour, j’ai senti souffler un vent de panique provoqué par les directives préliminaires du NIST sur l’authentification numérique, dans lesquelles est préconisée la dépréciation des SMS dans le cadre de l’authentification à deux facteurs (2FA). Après avoir lu d’innombrables articles, j’ai été déçu par le tourbillon médiatique apparent, avec ses raisonnements circulaires et l’absence de recherches fondamentales pourtant nécessaires afin exposer les risques et implications réelles de cette proposition pour les entreprises et les consommateurs. Les risques liés à l’utilisation des SMS pour la 2FA identifiés par le NIST ne sont pas clairement compris et j’aurais aimé voir davantage d’attention consacrée à rechercher des moyens de minimiser ces risques, sans partir du principe que les SMS seront totalement retirés de la 2FA.

Je constate avec intérêt que l’attention s’est essentiellement portée sur les SMS, mais nombre (si ce n’est la totalité) des faiblesses liées aux SMS existent à l’identique pour les services vocaux, ce qui permet de supposer que la dépréciation des SMS aboutirait probablement à la dépréciation ultérieure des services vocaux.

Il convient de saluer le travail de John Fontana pour Identity Matters (ZDNet), Violet Blue (Engadget) et Michelle Maisto (eWEEK) pour avoir calmé l’emballement et avoir injecté des éléments de clarification dans le débat. Saluons également le travail de Paul Grassi du NIST, qui a écrit un blog détaillant les raisons de cette décision préliminaire, ce qui a largement contribué à calmer les esprits.

Dans ce blog, je ferai valoir le fait que bien que les SMS présentent des faiblesses, ils constituent l’unique méthode d’authentification hors bande et présentent le caractère universel et pratique qui seul a pu stimuler l’adoption très rapide de la 2FA par des utilisateurs non-techniques, issus du grand public, au cours des dernières années. Je crois que la dépréciation des SMS entraînera un ralentissement de l’adoption de la 2FA pour tous les types d’authentificateurs et ira à l’encontre de l’objectif global du NIST, qui est d’encourager les entreprises à utiliser la 2FA en toutes circonstances. La facilité d’utilisation et le caractère pratique constituent de loin l’aspect le plus important dans l’adoption de l’authentification à deux facteurs et c’est pour cette raison que les SMS ont joué un rôle prépondérant dans son adoption globale.

Comme nous l’avons appris par le biais de récents articles de presse, la combinaison fondamentale d’une adresse de courrier électronique et d’un mot de passe (secret mémorisé) est extrêmement faible. L’ajout de la 2FA (quel que soit le type d’authentificateur) renforce sensiblement la sécurité. Il n’est donc pas surprenant que le NIST souhaite promouvoir son adoption.

Dans ce blog, je tenterai d’organiser la discussion de manière mieux structurée et documentée. Si vous ne souhaitez pas le lire dans son intégralité, les conclusions sont les suivantes:

  • La suggestion par le NIST de déprécier les SMS est prématurée et nuira à l’adoption de l’authentification à deux facteurs tant par les entreprises que par les utilisateurs.
  • Ne pas offrir les SMS en guise d’alternative 2FA aux applications de mots de passe à usage unique basés sur le temps (TOTP) rendra la prise en charge des utilisateurs dont les appareils ont été perdus ou volés extrêmement coûteuse et compliquée pour les entreprises.
  • Aujourd’hui, seuls 79,1 % des abonnés possèdent un smartphone. Parmi ces utilisateurs, plus de la moitié ne télécharge une application que de manière extrêmement sporadique. Cela nous amène à conclure que sans SMS, plus de 72 % des Américains se retrouveront sans solution 2FA viable.
  • Les faiblesses du protocole SS7 et des SMS sont exagérées en ce qui concerne les tentatives de hacking de masse. Par conséquent, les opérateurs mobile devraient se concentrer sur la sécurisation de leurs réseau, afin de démontrer au NIST que ces risques d’interception ont été résolus.

Pour commencer, qu’est-ce que le NIST ? Certains lecteurs étrangers sont peut-être déjà au fait de sa nature et de ses activités. Il s’agit, dans les grandes lignes, d’un « laboratoire d’études des normes de mesure et d’une agence du Département du Commerce des États-Unis », qui ne possède pas de pouvoir règlementaire. L’agence encourage donc les entreprises à respecter les normes qu’elle établit, mais ne peut pas utiliser la contrainte pour les faire adopter. Le gouvernement fédéral américain, par contre, peut être contrait de les respecter.

Il importe également de souligner que les directives du NIST sont actuellement en version PRÉLIMINAIRE et que quiconque souhaite émettre des commentaires peut le faire ici. Les consignes définitives seront probablement publiées au début de l’année prochaine.

J’ai créé un diagramme afin de tenter d’expliquer les motivations du NIST pour proposer la dépréciation des SMS dans le cadre de l’authentification à deux facteurs.

Graphic showing an SMS 2FA dilemma with annotations

 

 

 

En résumé, le NIST souhaite déprécier les SMS en tant qu’outil pour l’authentification à deux facteurs parce que ; a) des méthodes plus sûres (bien que moins pratiques) existent et ; b) les SMS sont perçus comme une cible vulnérable en raison du grand nombre d’articles récents abordant les faiblesses du protocole SS7 qui ont été publiés dans la presse grand public.

Existe-t-il des méthodes de 2FA plus sûres que les SMS, mais présentant le même niveau de commodité ?

 Il importe de souligner que dans ce contexte, « dépréciation » ne signifie pas proscription ni interdiction. Il s’agit d’une recommandation préconisant l’utilisation d’autres méthodes. Paul Grassi écrit dans son blog du NIST que l’intention est simplement de décourager l’utilisation des SMS car « cette méthode reste valide, mais elle est appelée à disparaître ».

 Nul ne saurait nier qu’il existe des méthodes plus sûres, à condition que l’utilisateur soit disposé à télécharger une application TOTP ou autre et à la configurer pour un service donné. Les utilisateurs grand public qui ne possèdent pas de connaissances techniques sont peu susceptibles de le faire, pour les raisons citées ci-dessous. De plus, cette méthode, bien que plus sûre, ne constitue pas une solution de remplacement idéale pour les SMS.

Dans ce blog, je partirai du principe que tous les smartphones sont protégés par un code PIN d’au moins 4 caractères (ou par une empreinte digitale) et que tout vol ou perte de téléphone sera signalée très rapidement, afin de faire en sorte que la carte SIM soit invalidée. Les conséquences de l’absence de ces mesures en termes de sécurité sont dès lors hors du cadre de ce blog.

Si nous supposons qu’elles sont en place, la méthode TOTP présente alors un problème fondamental en cas de perte d’appareil ou d’achat d’un nouvel appareil, comme je l’ai découvert récemment : la seule manière pour moi d’accéder à mon email personnel sur Google (pour lequel l’authentification à deux facteurs est activée) était d’utiliser les SMS, car il me fallait accéder à mon compte avant de pouvoir reconfigurer Google Authenticator sur mon nouvel appareil.

Sans les SMS, je n’aurais pas été en mesure d’accéder à mon compte sans entamer une procédure de 3 jours auprès de Google afin de prouver que j’avais perdu mon appareil. J’en conclus donc que les deux systèmes devraient être utilisés afin d’offrir une solution redondante, et que les SMS jouent un rôle fondamental dans ce scénario d’utilisation.

 

Comme vous pouvez le constater dans l’étude Forbes / Statista (source: Gallup) de 2015, les utilisateurs changent en moyenne de téléphone tous les deux ans, ce qui représente, en continu, 8,3 millions de personnes par mois. Cela fait beaucoup de personnes qui vont réaliser que leur application TOTP ne peut pas être facilement transférée vers un autre appareil sans 2FA par SMS. Vous trouverez ci-dessous une image présentant les options de connexion à Google via un nouvel appareil.

Screenshot of Google's 2FA process

Nous avons constaté des codépendances similaires dans le monde des applications de messagerie OTP, où des applications comme Viber, Whatsapp, etc. utilisent les SMS pour valider et associer un appareil à un numéro de téléphone. Étant donné que les SMS devraient toujours être utilisés comme moyen de secours, la sécurité d’un service dans son ensemble sera limitée par celle des SMS. Dans cette perspective, il me paraît plus judicieux d’encourager les opérateurs de téléphonie mobile à améliorer la sécurité des SMS pour l’authentification à deux facteurs en installant des pare-feux plutôt que d’encourager les entreprises à les abandonner. 

Il importe également de souligner que bien que les applications TOTP soient plus sûres, elles restent vulnérables aux attaques comme tout autre solution logicielle et quelle que soit l’application TOTP que vous utilisez, vous devrez vous assurer que le fournisseur la mettra à jour (sans perdre la configuration du service) et restera perpétuellement en activité, ou vous risquez de laisser tous vos utilisateurs en plan et de devoir leur demander de changer d’authentificateur à un moment donné.

Pie chart showing the number of app downloads per month performed by smartphone users

Enfin, en considérant le nombre d’abonnés américains à la téléphonie mobile qui ont une chance réaliste de télécharger une application TOTP, nous aurions tendance à oublier qu’au niveau mondial, tout le monde ne possède pas de smartphone et que les SMS constituent ici encore la meilleure méthode pour ces utilisateurs. Comscore évalue actuellement le taux de pénétration des smartphones aux États-Unis à 79,1 %, ce qui laisse une proportion de près de 21 % de la population non susceptible d’utiliser un type d’authentification mobile hors bande (à l’exception des SMS).

Cependant, cela ne constitue qu’un aspect du problème, car le nombre d’utilisateurs qui téléchargent une application sur leur smartphone est très faible. En effet, 65,5 % des utilisateurs ne téléchargent jamais, ou alors de manière tout à fait exceptionnelle, d’application. Cela signifie que 72 % de la population américaine ne téléchargera probablement jamais d’alternative à la 2FA par SMS.

Les SMS sont-ils réellement peu sûrs ?

Le NIST évoque deux préoccupations principales, l’une étant très spécifique aux numéros virtuels (c.a.d. les numéros non associés à un appareil physique, comme les numéros VOIP liés à une application), ou aux numéros physiques qui ont été configurés pour être dirigés vers un service IP. Cela comprend des numéros comme ceux fournis par Skype, ou ceux accessibles sur iMessage via le bureau de votre ordinateur. Dans ce cas, le souci est que bien que ces services ne présentent pas nécessairement de défaut de sécurité, leur niveau de sécurité est limité par la qualité de sécurisation d’accès qu’ils utilisent. Soit, dans la plupart des cas, des noms d’utilisateurs associés à un secret mémorisé qui sont vulnérables aux attaques à distance à grande échelle, sans déclencher l’envoi d’un avertissement au propriétaire du numéro pour signaler qu’il a été compromis. Je pense qu’il s’agit d’une préoccupation légitime, mais nous pouvons largement contribuer à résoudre ce problème en a) rappelant aux utilisateurs de ne pas utiliser ces services avec des numéros qui sont utilisés pour la 2FA ; b) de réaliser une recherche MNP dans le cadre du service de validation de numéro afin de garantir que le numéro n’est pas un numéro virtuel ou VOIP. 

La seconde préoccupation concerne la manière dont les numéros physiques peuvent être interceptés en exploitant les faiblesses de l’infrastructure SS7. Ces faiblesses ont été relativement bien documentées par plusieurs études et articles de presse, mais je suis d’avis que les risques associés à ces faiblesses ont été largement surestimés dans la presse, en raison d’un défaut de compréhension du réseau SS7 et de postulats de départ erronés, comme « l’accès au réseau SS7 qui permet d’atteindre au réseau de la victime est facile à obtenir. »

Leurs postulats fondamentaux de départ supposent que l’attaquant:

  • dispose du numéro de téléphone de la victime. Cela peut sembler trivial dans le cas d’une attaque ciblée, mais réaliser un hacking en masse nécessiterait de répertorier les noms d’utilisateurs, adresses électroniques et numéros de téléphone mobile, ce qui n’est pas trivial.
  • dispose d’un accès au réseau SS7. De nombreuses démonstrations suggèrent qu’accéder au réseau SS7 est trivial et que l’attaquant dispose d’un accès à ce réseau.
  • dispose d’un accès à un réseau SS7 qui possède une portée de signal et/ou un accord d’itinérance avec le réseau d’attache de la victime.
  • s’est assuré que le réseau d’attache de la victime ne comporte pas de protection contre ce type de fraude et/ou ne réalise pas de surveillance à des fins de prévention.
  • s’est assuré que la victime a activé l’itinérance sur son compte, ou que cet élément peut être manipulé séparément et d’une autre manière par l’attaquant.
  • dispose d’une expertise approfondie en matière de SS7/Sigtran et de l’équipement nécessaire pour réaliser l’attaque (soit un investissement probable de 10K $ pour pouvoir le faire convenablement)
  • a la possibilité de coordonner l’envoi d’un message à deux facteurs durant le laps de temps pendant lequel la carte SIM est « en itinérance » sur le faux réseau.
  • n’a laissé aucune preuve et ne peut pas être localisé

Afin de satisfaire ces 8 conditions, j’aurais tendance à avancer que l’attaquant doit être l’employé malhonnête d’un opérateur possédant des droits suffisants pour intercepter un message. Obtenir l’accès au réseau SS7 de l’opérateur mobile de la victime depuis l’extérieur (c.a.d. non depuis le réseau d’un autre ORM de grande envergure) semble aussi probable que le fait de compromettre le pare-feu du fournisseur de services que vous tentez de hacker. Réaliser une attaque massive affectant des victimes associées à plusieurs opérateurs durant un laps de temps très réduit semble extrêmement improbable.

Je note avec intérêt que Verizon et Sprint sont à l’abri de ce type de fraude par interception via itinérance, car il s’agit de réseaux DCMA et non GSM. Cela pourrait changer avec l’introduction progressive de la 4G LTE, mais dans la situation actuelle, ils sont probablement les plus sûrs en ce qui concerne la 2FA par SMS. Ils représentent environ 50 % de tous les abonnés. Une simple minimisation de ce risque d’ « interception via itinérance » sur les autres réseaux consiste à réaliser une recherche HLR du numéro de téléphone avant d’authentifier un utilisateur afin de s’assurer qu’il se trouve sur son réseau d’attache et non en itinérance.

L’autre menace souvent abordée lors des discussions relatives à la sécurité des SMS est la relative facilité avec laquelle il est possible d’obtenir un clone d’une carte SIM et/ou d’obtenir d’un agent du service d’assistance aux clients qu’il dévoile le contenu d’un SMS. Malgré l’idée très répandue qu’il est facile de manipuler l’employé d’une boutique d’opérateur afin de lui faire produire une nouvelle SIM pour une autre personne, cette opération ne peut pas être réalisée à grande échelle et comporte un risque élevé de détection, tant en raison d’un échec d’identification réseau de l’utilisateur réel que grâce aux archives et à la vidéosurveillance de la boutique, susceptibles d’identifier l’agresseur. De même, obtenir d’un technicien interne à un opérateur, à un agrégateur ou à une société d’expédition pour accéder aux journaux des messages SMS et accéder au contenu d’un message spécifique semble fort peu probable, à une échelle ou dans des situations où l’objectif est de déjouer des méthodes de sécurisation, comme la 2FA.

Enfin, il est exact qu’un logiciel malveillant peut intercepter un message SMS sur un périphérique (particulièrement sous Android), mais cela ne constitue pas une lacune du système SMS, mais plutôt du système d’exploitation mobile et ou du logiciel antivirus.

Recommandations

Recommandations pour les entreprises

  • Continuez d’utiliser la 2FA par SMS pour la plupart des applications courantes de votre activité. Envisagez l’utilisation d’autres méthodes 2FA pour les scénarios d’utilisation les plus critiques, nécessitant un niveau de sécurité élevé Permettez aux utilisateurs de choisir entre les SMS et des applications TOTP pour la plupart des situations, et l’utilisation des deux en tant que mécanisme de secours redondant.

Recommandations pour les opérateurs de téléphonie mobile

  • Bloquez tout accès SS7 émanant d’opérateurs avec lesquels vous n’avez pas d’accord d’itinérance
  • Mettez en œuvre des pare-feux dédiés aux systèmes SS7 et SMS afin de surveiller et de détecter les interceptions frauduleuses
  • Comprenez les vecteurs de menaces et minimisez constamment ces risques
  • Réalisez des tests de pénétration réguliers afin de garantir la sécurité du réseau SS7
  • Veillez à ce que les IR21 soient classés confidentiels de nature commerciale et tentez d’utiliser des appellations globales non séquentielles pour l’infrastructure du cœur de réseau
  • Collaborez avec des agences de normalisation comme le NIST afin de mieux expliquer les risques potentiels associés à la 2FA par SMS.
  • Offrez aux fournisseurs un accès payant légitime aux recherches HLR (sans IMSI complet) afin de permettre d’établir les cas d’interception frauduleuse via itinérance.

Recommandations pour les consommateurs

  • Activez le verrouillage automatique de votre téléphone et exigez un mot de passe ou une empreinte digitale pour le déverrouiller
  • Activez la 2FA sur tous les comptes, que ce soit par SMS ou TOTP
  • Protégez votre appareil contre les logiciels malveillants
  • N’activez l’itinérance que quand vous êtes fortement susceptible de vous rendre à l’étranger
  • Déterminez si l’une de vos adresses de courrier électronique a été compromise en visitant https://haveibeenpwned.comet n’utilisez plus jamais ces mots de passe
  • Utilisez https://howsecureismypassword.net/ pour choisir un mot de passe robuste et veillez à utiliser un mot de passe et / ou adresse email différents pour chaque service. Gardez bien en tête qu’un mot de passe de 3 mots (par ex. chat.verre.gateau) est supérieur de plusieurs ordres de grandeur en termes de robustesse par rapport à une chaîne aléatoire de 8 lettres/chiffres, et bien plus facile à mémoriser.

Ayant personnellement trouvé mes adresses email et mots de passe pour Myspace, Linkedin, Adobe et Tumbler sur l’Internet public, je ne suis pas surpris de constater la fréquence des incidents de sécurité affectant ces systèmes d’authentification simple, ni la cascade d’attaques qui peut en découler. Utilisez un mot de passe robuste et veillez à utiliser un mot de passe et / ou adresse email différents pour chaque service.

Résumé

Leur facilité, leur commodité et leur universalité font que les SMS représentent notre unique chance à tous d’introduire la 2FA auprès du grand public, jusqu’à nouvel ordre. Les SMS offrent un compromis idéal entre les systèmes simples à base de nom d’utilisateur/mot de passe (qui ne sont pas sûrs), et les solutions sécurisées TOTP sophistiquées qui existent aujourd’ hui. 

Les entreprises devraient continuer à adopter les SMS pour la 2FA pour la plupart des types de services, car cette solution est nettement plus sûre que la non utilisation de la 2FA Pour les entreprises et les consommateurs qui souhaitent prendre des précautions supplémentaires, ce blog propose un certain nombre de mesures de minimisation, comme les recherches MNP / HLR avant chaque authentification.

Il est fortement recommandé à la communauté des opérateurs de téléphonie mobile d’œuvrer afin de réduire les risques d’interception frauduleuse via itinérance, ou tout du moins d’exprimer dans la presse leur connaissance de ces risques et les mesures adoptées pour les minimiser.

L’objectif le plus important et de loin est de faire en sorte que chaque entreprise adopte la 2FA sous une forme ou sous une autre et encourage tous les consommateurs à l’adopter. Les SMS aideront à l’adoption car ; a) plus de 72 % des Américains sont très peu susceptibles de télécharger et de configurer une application de 2FA ou ne possèdent simplement pas de smartphone ; et b) le changement d’appareil, dans le cas des services pour lesquels la 2FA a été activée sans SMS, peut s’avérer chronophage et frustrant pour les entreprises comme pour les utilisateurs.

Gardez bien en tête que la sécurité n’est pas seulement une question de technologie, mais avant tout une question de politiques et de processus d’entreprise. De mon point de vue, les lacunes dans ce domaine constituent un risque infiniment plus grand que les lacunes des SMS pour la 2FA.

Nous recommandons au NIST de ne PAS déprécier les SMS, de continuer à qualifier les SMS de solution adaptée à de nombreux/à la plupart des scénarios d’utilisation de 2FA, et de recommander des méthodes d’optimisation de la sécurité, comme celles énoncées dans ce blog. Pour les services présentant des risques élevés ou les scénarios de risque opérationnel, nous nous accordons sur le fait que le TOTP ou équivalent constitue une solution supérieure, à la condition que les utilisateurs soient susceptibles de l’adopter.

Auteur : Rob Malcolm (Mblox / CLX)

Signup for Blog Updates