Publicité en cours de chargement...

Publicité en cours de chargement...

Quand la sécurité atteint ses limites (dès le départ…)

09 mai 2017 - 10:55,
Tribune - Charles Blanc-Rolin
Il ne faut pas se leurrer, la sécurité d’une solution est bien souvent limitée par l’imagination de ses concepteurs. Chaque vulnérabilité est due, soit à une erreur de conception, une mauvaise idée ou une chose à laquelle les concepteurs n’avaient pas pensé (une mauvaise analyse de risque si vous voulez).

D’où l’importance d’intégrer la sécurité dès le départ, non seulement dans les projets, mais également dans l’enseignement. On ne peut donc que saluer et plébisciter une initiative telle que le projet porté par l’association CyberEdu, dont le Président n’est autre que Monsieur Gérard Peliks.

Ces dernières semaines, c’est l’authentification à double facteur qui a particulièrement souffert !
Le but de ce mécanisme, étant d’augmenter la sécurité lors d’une authentification en ajoutant une condition supplémentaire au couple classique « identifiant / mot de passe » pour permettre l’autorisation d’accès. On peut retrouver des technologies telles que la biométrie, l’OTP (One Time Password ou mot de passe à usage unique) avec l’envoi d’un SMS par exemple, un dispositif physique, carte à puce, clé USB…

Premier à avoir souffert il y a une bonne vingtaine de jours, le très connu gestionnaire de mots de passe en ligne LastPass, souvent attaqué, en conséquence de son utilisation massive, et trop souvent cassé, malheureusement.
Une équipe de chercheurs a récemment découvert que le jeton d’authentification du second facteur était dérivé du mot de passe. Le deuxième facteur perd donc tout son intérêt, puisque son but est de protéger au-delà du vol de mot de passe, mais dans ce cas précis, avec le mot de passe, il était possible d’obtenir la clé de la « serrure de secours ».

Dans le secteur de la santé, on pourrait comparer ce système au calcul de l’INS-C. L’INS-C avait pour but de protéger l’identité d’un patient en calculant un identifiant national de santé ne permettant pas la réauthentification. Seul problème, c’est qu’avec le NIR (ou « numéro de sécu »), le prénom du patient et sa date de naissance, il est assez facile de calculer son INS-C, et par conséquent, sur une attaque ciblée, assez facile de retrouver les informations d’un patient avec son INS-C. En effet les détails du calcul sont disponibles publiquement sur le site de l’ASIP Santé, un site non officiel propose même d’effectuer ce calcul pour vous (je vous déconseille de jouer avec de vraies informations sur ce site non officiel et n’utilisant pas de chiffrement). On peut donc dire, que l’INS-C n’apporte pas vraiment une réelle protection pour la confidentialité des données. Pour rappel, la France a tranchée, ce sera bientôt le NIR qui sera utilisé comme identifiant national de santé.

La semaine dernière, c’est une campagne de phishing massive visant les utilisateurs disposant d’un compte Google qui a fait beaucoup de bruit. Et là encore l’authentification à deux facteurs n’aura pas permis de sauver les utilisateurs. Vous avez déjà vu des sites Internet vous proposant de vous authentifier avec votre compte Facebook ou Google (très, très mauvaise idée, je vous le déconseille fortement) plutôt que de vous créer un compte spécifique au site en question. C’est le protocole OAuth permettant la délégation de l’authentification d’un site à l’API de connexion d’un autre site qui est utilisé.
C’est sur ce principe que s’est basée cette attaque. Les victimes ont reçu un lien vers un faux document Google Docs. Sur ce site malfaisant, l’API de connexion de Google était utilisée, par conséquent, les victimes s’authentifiaient bien chez Google, avec leur deuxième facteur (code reçu par SMS, si actif), jusque-là tout va « bien ». Le site malveillant, demandait ensuite un accès complet au compte GMAIL de ses victimes pour pouvoir utiliser cette fausse application Google Docs. En cliquant sur « autoriser », les victimes ont donc donné accès à leur compte GMAIL à l’attaquant : #PERDU !

Quelques jours avant cet incident, j’ai découvert EvilGinx, un outil clé en main permettant de faire de la sensibilisation (mais qui pourrait bien être utilisé par des personnes moins bienveillantes), qui par le biais d’une page de Phishing (au choix, Google, Dropbox, Facebook ou Linkedin) sert de « proxy » pour une authentification légitime et permet de récupérer le jeton d’authentification en plus du mot de passe, et donc de se retrouver connecter à la place de la victime sans même avoir à s’authentifier. Ce qui permet d’envisager derrière pas mal de scénarios, comme la redirection de mails vers une autre boite, le vol d’informations, la prise de contrôle du compte…
Je vous invite à visionner la vidéo de présentation qui est extrêmement explicite.

Malgré ces faiblesses démontrées, l’authentification à plusieurs facteurs reste une sécurité à ne pas négliger !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.