5 raisons qui prouvent que l'A2F par SMS est encore là pour un moment
Temps de lecture: 7 minutes
Chaque solution de sécurité représente un équilibre délicat entre la protection de quelque valeur et la fourniture d’accès utilisable aux bonnes personnes. Nous sommes tous constamment en train d’évaluer les compromis et de calculer les risques dans le but de trouver le bon équilibre entre sécurité et facilité d’utilisation. Quand il y a plus d'enjeux, les gens sont prêts à ajouter des frictions et protections supplémentaires. Dans le monde physique réel, cela se traduirait par un appartement personnel qui n’est protégé que par un simple verrou, alors qu’un magasin de bijoux investit dans un système d’alarme.
Pour les affaires en ligne, l’authentification par SMS est depuis longtemps un choix populaire pour sécuriser les comptes des clients. C’est un canal facile et familier à déployer, et l’usage de l’Authentification à Deux Facteurs (A2F) a connu une croissance de 9% au cours des deux dernières années. Tandis que les canaux SMS soulèvent des inquiétudes de sécurité légitimes, les entreprises devraient prendre en compte leurs exemples de menaces et offrir un spectre d’options A2F. Offrir plus de canaux sécurisés comme des applis d’authentification et des authentifications Push est particulièrement important lorsque vous protégez des cibles de haute valeur comme des comptes bancaires ou des boîtes mail.
Pourquoi les SMS sont-ils restés si populaires malgré leurs failles ? Quand n’est-ce plus assez ?
1. Les mots de passe sont nuls
On utilise des mots de passe comme standard de fait pour l’authentification depuis les débuts d’internet. Mais les humains oublient vite, alors ils utilisent des mots de passe courts et marquants qui peuvent être devinés ou pris par force brute. Je ne serais pas surprise si M@rch2021!
est un choix répandu en ce moment.
Le site web haveibeenpwned.com collecte les identifiants récupérés dans les fuites de données et prouve à quel point les mots de passe simples et communs sont devinables. Par exemple, le mot de passe 123456
a été vu plus de 24 millions de fois dans les fuites de données. Pour empirer le tout, une étude de Google en 2019 montre que 64% des gens admettent réutiliser leurs mots de passe sur plusieurs sites. C’est un problème car, même si quelqu’un a un mot de passe complexe, s’ils le réutilisent sur plusieurs plateformes, une fuite de données chez MySpace ou Adobe pourrait mener à une brèche de sécurité du compte de l’utilisateur sur le site de votre compagnie à travers un processus connu sous le nom de credential stuffing.
Les gestionnaires de mots de passe aident, mais c’est moins de 25% des américains qui en utilisent un. Alors l’industrie a commencé à introduire des mesures de sécurité supplémentaires.
2. La plupart des gens peuvent recevoir des SMS
Dans le but d’enrichir la sécurité des mots de passe, beaucoup de compagnies ont commencé à introduire l’A2F, en utilisant quelque chose que vous savez (un mot de passe) et quelque chose que vous avez (un téléphone). Recevoir un mot de passe à usage unique par SMS peut protéger un compte si le premier facteur (mot de passe) est compromis. Et puisque nous avons établi que les mots de passe peuvent être compromis, c’est plutôt une bonne nouvelle !
96% des américains possèdent un téléphone portable capable de recevoir des SMS. Alors que le nombre d’utilisateurs de Smartphone augmente rapidement, les SMS ne nécessitent pas de télécharger une appli supplémentaire dans le but d’opter pour une mesure de sécurité additionnelle.
La facilité d’utiliser les SMS peut aider à s'assurer que les gens activent un second facteur.
3. L’A2F par SMS fonctionne
L’état de la sécurité en ligne s’améliore constamment et l’industrie s’adapte toujours à héberger les technologies émergentes. Mais même des compagnies comme GitHub, qui implémentent une large variété d’options A2F, permettent toujours l’A2F par SMS. Et surtout, GitHub ne force pas ses utilisateurs à se servir des SMS mais les laisse comme une option pour ceux qui pourraient valoriser leurs avantages plus que ceux des protections supplémentaires comme TOTP ou WebAuthn.
Les recherches Google démontrent aussi que les SMS sont toujours une forme d’authentification efficace, en aidant à “bloquer 100% des bots automatisés, 96% du hameçonnage (phishing) de masse et 76% des attaques ciblées”.
4. L’A2F n’est utile que si les utilisateurs l’activent
Bien que les compagnies puissent exiger que les employés l’activent, la plupart des applications de consommation n’appliquent pas l’A2F. Le processus d’entrée est incroyablement important car offrir des canaux d’authentification sécurisés n’est pas suffisant si personne ne les utilise. L’A2F par SMS est l’une des manières d’ajouter l’A2F à un compte avec le moins de friction possible : dans une étude de recherche, les utilisateurs ont été capables de configurer le facteur en moyenne 2.6 fois plus rapidement qu’avec une application d’authentification. Malheureusement, beaucoup d’utilisateurs ne prendront pas le temps de télécharger une application d’authentification supplémentaire. C’est aussi pourquoi je ne m’attends pas à voir l’utilisation de WebAuthn exploser avant que les plateformes d'authentification ne soient largement disponibles.
Une étude de 2019 sur la facilité d’utilisation de l’A2F a démontré que seulement 29% des personnes pensaient que les inconvénients de l’A2F valait toujours le compromis de sécurité. Comme l’a observé un participant : “Je ne pense simplement pas que j’ai quoique ce soit que quelqu’un pourrait vouloir me prendre, donc je pense que c’est pour ça que je ne suis pas très inquiet à ce propos”.
Pour compenser le temps investi, vous pouvez encourager l’A2F comme l’a fait Fortnite en activant des récompenses dans l’application pour les gamers.
5. Le NIST dit que l’A2F par SMS, c’est OK
L’Institut National des Standards et des Technologies (NIST) a débattu, en 2016, du rabaissement des SMS comme canal d’A2F. Mais après avoir sollicité l’opinion publique, il a finalement décidé de garder les SMS comme recommandation de deuxième facteur. Le NIST a reconnu que : “Exploiter un SMS pour agir comme un deuxième facteur est aujourd’hui moins efficace que certaines autres approches - mais toujours plus efficace qu’un seul facteur. Cet exercice d’équilibriste est compliqué et intrinsèquement imparfait”. Ils encouragent en effet l’utilisation de numéros VoIP, qui ne peuvent prouver la possession d’un appareil. Vous pouvez en lire plus à propos des recommandations du NIST pour des authentificateurs hors-bande dans la publication spéciale 800-63b.
Aucune solutions de sécurité n’est parfaite
Les SMS n’ont pas été conçus pour être un outil de sécurité et ils ont, de toute façon, fini par le devenir. Mais les attaques nécessitent de varier les niveaux de compétences ainsi que de l’argent pour les mettre en place.
Un chercheur en sécurité, Roger Piqueras Jover, a analysé les attaques par SIM swap et a trouvé que, bien que l’attaque soit bon marché, elle prend beaucoup de temps et laisse des traces. “Malgré que les [SIM swaps soient] un risque de sécurité largement reconnu en Amérique et en Europe, [elles représentent] une menace beaucoup plus mitigée dans les nations africaines." Une banque au Mozambique peut vérifier une activité de SIM swap récente avec un opérateur cellulaire, une stratégie qui a “réduit les fraudes bancaires sur la base de SIM swap à presque 0 en une nuit”. C’est pourquoi Twilio investit dans des solutions pour aider les entreprises à se défendre contre le SIM swapping et les piratages de comptes.
La même recherche a démontré que, bien qu’une attaque SS7 soit rapide, elle est coûteuse et exige des connaissances spécifiques des protocoles SS7 et l’accès à un network SS7. Les rapports récents des services de transfert de message - qui peuvent être abusés pour rediriger des messages à un hacker - sont inquiétants, mais les chercheurs en sécurité sont en train d’exposer cet abus de façon active et ont construit des outils pour aider à détecter ce type d’attaque.
La plupart des ces faiblesses pourraient être exploitées avec des attaques ciblées, celles où l’on a une victime spécifique en tête. “Si votre modèle de menace est tel que vous vous retrouvez au centre de l’attention du public (journaliste, activiste, etc…), alors ceci est encore plus important pour vous - les gens connus du public ont plus de probabilité de se faire cibler par des criminels” a tweeté l’experte Rachel Tobac.
Une mitigation importante que les entreprises peuvent - et devraient - offrir à leurs clients est l’option d’activer des méthodes d’authentification plus fortes, surtout pour les personnes qui pourraient être des cibles. Selon le service, des protections supplémentaires pourraient être exigées, basées sur un seuil de valeur du compte, comme le solde financier ou le nombre de followers sur les réseaux sociaux.
Quand est-ce que l’A2F par SMS n’est pas suffisante ?
Chaque entreprise a un modèle de menace unique, alors prenez bien en compte ce que votre business protège et comment vos utilisateurs pourraient être ciblés. Ajoutez une sécurité additionnelle pour les comptes de haute valeur (pensez comptes financiers et mails) et les personnes de haute valeur (comme les célébrités, les politiques, ou activistes) avec :
- Les app d’authentification (TOTP) comme Authy
- L’authentification Push, surtout pour les entreprises avec un large nombre d’utilisateurs d’application mobile.
- Les services comme Sift pour aider à détecter les fraudes en arrière-plan.
- WebAuthn qui est toujours nouveau mais un possible remplacement prometteur pour les mots de passe.
- Le mail, qui a des compromis de sécurité différents mais peut valoir le coup en le considérant en addition d’autres canaux et signaux.
L’une des parties importantes de chaque système d’authentification est la récupération de compte. Alors, si vous offrez l’A2F par SMS, prenez en compte la façon dont vous souhaitez l’utiliser dans les cas de mots de passe perdus. Nous recommandons d’utiliser les SMS en combinaison avec des codes de secours ou d’autres canaux de possession afin d’ajouter encore plus de protection pour ces comptes/utilisateurs. Pour plus de sûreté, envisagez d’ajouter des périodes d’attentes forcées et des notifications mail pour indiquer que la récupération est bien en cours. Pour plus de recommandations, dont comment équilibrer la récupération de compte avec des coûts support, allez voir ce talk sur comment élaborer la récupération de compte d’un client dans un monde d’A2F.
Il n’y a pas de solution unique ici mais je vous encourage à régaler vos utilisateurs conscients des enjeux de sécurité avec des canaux sécurisés et à fournir des options flexibles pour ceux qui ne le sont pas. Parce que, comme le chercheur en sécurité Cormac Herley le dit : “Quand on exagère sur tous les dangers, on entraîne simplement les utilisateurs à nous ignorer.”
Articles associés
Ressources connexes
Twilio Docs
Des API aux SDK en passant par les exemples d'applications
Documentation de référence sur l'API, SDK, bibliothèques d'assistance, démarrages rapides et didacticiels pour votre langage et votre plateforme.
Centre de ressources
Les derniers ebooks, rapports de l'industrie et webinaires
Apprenez des experts en engagement client pour améliorer votre propre communication.
Ahoy
Le hub de la communauté des développeurs de Twilio
Meilleures pratiques, exemples de code et inspiration pour créer des expériences de communication et d'engagement numérique.