MFA, plutôt trois que deux ?
25 avril 2023 - 10:53,
Tribune
- Cédric CartauCela doit être vrai puisque depuis des années on nous le dit, le rabâche, le susurre, le chante, le danse, le joue.
Oui, bien entendu : il est mort, tout comme sont morts le PC, le développement de code par des humains, IPv4, le client/serveur (C/S pour les intimes), le Cobol, et j’en passe.
Quand tous les lecteurs (et l’auteur) boufferont les pissenlits par la racine, les mots de passe seront toujours utilisés. Et ce pour une raison simple : lorsque la clé logicielle chiffrée, le token, l’empreinte digitale, l’appariement de terminal (je ne vais pas tous les citer) que vous utilisez seront par inadvertance tombés dans la cuvette des toilettes, vous serez bien content de pouvoir déclencher la procédure de recouvrement… avec un mot de passe. Que vous aurez bien entendu écrit sur un Post-it rangé au coffre… qui exige un code pour s’ouvrir, ou une clé, que vous aurez rangée dans un autre coffre, qui à son tour exige une clé. Etc., etc., etc. C’est sans fin, et on en deviendrait chèvre.
Cela étant, les informaticiens ont inventé un truc génial pour sécuriser l’emploi des mots de passe : l’authentification multifacteur, MFA pour les intimes. L’idée est de recevoir un jeton temporaire sur un autre canal, qui est demandé par le système sur lequel vous tentez de vous connecter, pour finaliser la connexion. Les banques ont cherché longtemps le meilleur moyen de sécuriser les transactions sur Internet car la fraude leur coûtait une blinde. Le Code monétaire et financier stipule en effet que, en cas de fraude à la CB, la banque doit rembourser le client sans délai. Une disposition somme toute logique : la banque fournit à ses clients un moyen de paiement en MFA (possession de la CB pour la glisser dans le TPV + code PIN), et si elle accepte un paiement sur la seule foi du numéro de CB, c’est à elle d’en assumer le risque. Le SMS est de loin le mécanisme le plus simple à utiliser (pour la banque) quand plus de 90 % de la population possède un téléphone portable, raison pour laquelle que le 3D Secure s’appuie souvent sur l’envoi d’un SMS avec un jeton d’une durée courte. Quand un second facteur seul suffit, on parle de 2FA.
C’est donc vers ce média que pas mal de solutions techniques, y compris professionnelles, se sont tournées pour sécuriser les accès « sensibles », tels ceux des adminsys aux plateformes techniques, surtout lorsqu’elles sont « cloudifiées », comme O365 (mais pas que).
Ce mécanisme MFA par jeton SMS (2FA) n’est cependant pas parfait. On lui connaît au moins deux failles. La première, qui touche surtout des opérateurs peu rigoureux sur la gestion des cas de perte de carte SIM, est le SIM Jacking, qui consiste, en gros, à demander à l’opérateur l’envoi d’une carte SIM en se faisant passer pour le client ciblé. L’attaquant dispose alors du second facteur et peut se faire plaisir sur les commandes en ligne – le phénomène est en augmentation constante ces derniers temps. La seconde est l’inévitable facteur humain. On se souvient de l’adminsys de Uber qui, à force de recevoir des demandes de confirmation sur son GSM de connexion avec son compte admin, a fini par valider la demande (certes incité par un faux contact WhatsApp se prétendant de la boîte), et vogue la galère (dans tous les sens du terme).
L’actualité récente vient de nous en sortir une troisième, puisque la start-up Dust Mobile a lancé au dernier Forum international de la cybersécurité de Lille que « pour 500 dollars par mois sur le Darknet, uniquement en connaissant votre numéro, un pirate peut, à distance et à votre insu, localiser votre téléphone, intercepter et écouter vos appels et vos SMS et MMS ». Il peut également « vous les renvoyer modifiés ou en envoyer ou appeler comme si c’était vous ». On savait déjà que ce genre de technique était à la portée des services de renseignement des États, on sait maintenant que le procédé se « démocratise » et qu’un gamin dans sa chambre d’étudiant puisse vous vider votre compte en banque, accéder aux ESX de votre boîte, etc., n’est qu’une question de temps (mois ? années ?).
Et ça, ce n’est pas bon, mais alors pas bon du tout. Pas parce que le MFA SMS ne pourrait pas être remplacé, mais parce que son remplacement va prendre du temps – au moins autant que pour le déployer, donc des années. On pourrait envisager un 3FA (authentification à trois facteurs au lieu de deux), ce qui risque d’être compliqué côté grand public (et d’ailleurs quel troisième facteur utiliser ?). Côté pro, le job d’une profession déjà sous pression ne s’en trouverait pas spécialement fluidifié. Avoir basé le 2FA sur un protocole conçu dans les années 1980, bien avant le contexte cyber de notre décennie, est un tantinet léger, mais le fait est là.
Il existe des solutions abordables, telle la carte de bataille navale (on en trouve d’ailleurs une excellente implémentation gratuite sur https://www.qwertycards.com/), des tokens physiques (dont il faut gérer la perte ou la casse et qui coûtent cher), des applis d’authentification sur les smartphones (Google Authenticator, par exemple, ou carrément des 2FA directement dans l’appli bancaire, comme quoi les banques commencent à se retirer du SMS en tant que 2FA), etc. Seul point qui fait consensus : on ne pourra pas rester longtemps avec un 2FA bancal, à titre privé comme professionnel. Les particuliers en sont réduits à multiplier les mécanismes de protection, tels que le blocage des CB, la génération de CB virtuelle à usage unique, etc.
Côté professionnel, si les solutions existent pour les accès admin et agents lambda, une population échappe toujours au MFA : les fournisseurs. Nous sommes dans une situation qui frise l’ubuesque : les accès agents en interne sur le LAN sont plus sécurisés que les accès des fournisseurs en télémaintenance depuis des points non maîtrisés du globe, avec un accès Full à toute notre production. On comprend pourquoi l’accès par la Supply Chain est à la mode ces derniers mois.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.