Utiliser 2FA ? Génial. Mais ce n’est pas infaillible –
Vous devez utiliser l’authentification à deux facteurs partout où elle est disponible. Ce n’est pas parfait, mais cela arrête la plupart des attaquants dans leur élan. Mais ne vous laissez pas berner en pensant qu’il est imprenable. Ce n’est pas le cas.
Sommaire
Le problème du mot de passe
Le mot de passe est le principal moyen de sécurisation des comptes informatiques depuis les années 1950. Soixante-dix ans plus tard, nous sommes tous inondés de mots de passe, principalement pour les services en ligne. Par curiosité, j’ai vérifié mon gestionnaire de mots de passe. J’ai 220 ensembles d’identifiants de connexion stockés dedans.
À moins d’être particulièrement doué, il est impossible de mémoriser autant de mots de passe complexes et robustes. C’est pourquoi les gens réutilisent des mots de passe et utilisent des mots de passe faibles mais faciles à retenir. Bien sûr, c’est le genre de comportement qui met vos comptes en danger.
Les attaques automatisées par force brute, les attaques par dictionnaire et d’autres attaques par recherche utilisent des listes de mots et des bases de données de mots de passe violés pour tenter d’obtenir un accès non autorisé aux comptes des personnes. Chaque fois qu’il y a une violation de données, les données sont mises à disposition sur le dark web pour être utilisées par les cybercriminels. Ils utilisent les bases de données de mots de passe violés comme munitions pour leur logiciel. Il mitraille les informations d’identification volées dans des comptes, essayant de faire correspondre les mots de passe et d’y accéder.
Le site Web Have I Been Pwned collecte les données d’autant de violations de données que possible. Vous pouvez librement visiter le site pour vérifier si votre adresse e-mail ou l’un de vos mots de passe ont été exposés à une violation. Pour vous donner une idée de l’ampleur du problème, il y a plus de 11 milliards ensembles d’informations d’identification dans leurs bases de données.
Avec autant de mots de passe, il y a de fortes chances que quelqu’un d’autre ait choisi le même mot de passe que vous. Ainsi, même si aucune de vos données n’a jamais été exposée dans une violation, les données de quelqu’un d’autre – qui se trouve avoir utilisé le même mot de passe que vous – pourraient bien l’avoir été. Et si vous avez utilisé le même mot de passe sur de nombreux comptes différents, cela les met tous en danger.
Politiques de mot de passe
Toutes les organisations devraient avoir une politique de mot de passe qui donne des conseils sur la création et l’utilisation de mots de passe. Par exemple, la longueur minimale d’un mot de passe doit être définie et les règles entourant la composition d’un mot de passe doivent être clairement définies pour que tout le personnel puisse les comprendre et les suivre. Votre politique doit interdire la réutilisation des mots de passe sur d’autres comptes et les mots de passe basés sur les noms, anniversaires et anniversaires d’animaux de compagnie ou de membres de la famille.
Le problème que vous avez est de savoir comment le contrôler? Comment savoir si le personnel respecte ces règles ? Vous pouvez définir des règles de complexité minimale sur de nombreux systèmes, afin qu’ils rejettent automatiquement les mots de passe trop courts, qui ne contiennent pas de chiffres ni de symboles, ou qui sont des mots du dictionnaire. Qui aide. Mais que se passe-t-il si quelqu’un utilise le mot de passe de l’un de ses comptes d’entreprise comme mot de passe Amazon ou Twitter ? Vous n’avez aucun moyen de savoir.
L’utilisation de l’authentification à deux facteurs améliore la sécurité de vos comptes d’entreprise et offre également une certaine protection contre une mauvaise gestion des mots de passe.
Authentification à deux facteurs
L’authentification à deux facteurs ajoute une autre couche de protection aux comptes protégés par mot de passe. En plus de votre identifiant et de votre mot de passe, vous devez avoir accès à un objet physique enregistré. Il s’agit soit de dongles matériels, soit de smartphones exécutant une application d’authentification approuvée.
Un code à usage unique est généré par l’application d’authentification sur le smartphone. Vous devez entrer ce code avec votre mot de passe lorsque vous vous connectez au compte. Les dongles peuvent se brancher sur un port USB ou utiliser Bluetooth. Soit ils affichent un code, soit ils génèrent et transmettent une clé basée sur une valeur interne secrète.
L’authentification à deux facteurs combine des choses que vous connaissez (vos informations d’identification) avec une chose que vous possédez (votre smartphone ou votre dongle). Ainsi, même si quelqu’un devine ou force brutalement votre mot de passe, il ne peut toujours pas se connecter au compte.
Authentification à deux facteurs compromettante
Il existe plusieurs façons pour un attaquant de surmonter l’authentification à deux facteurs et d’accéder à un compte protégé. Certaines de ces techniques nécessitent des capacités techniques d’élite et des ressources importantes. Par exemple, les attaques qui exploitent les vulnérabilités du protocole du système de signalisation n° 7 (SS7) sont généralement menées par des groupes de piratage bien équipés et hautement qualifiés, ou des attaquants parrainés par l’État. SS7 est utilisé pour établir et déconnecter les communications basées sur la téléphonie, y compris les messages texte SMS.
Pour attirer l’attention de ce calibre d’acteurs menaçants, les cibles doivent être de très grande valeur. « De valeur élevée » signifie différentes choses pour différents attaquants. Le résultat peut ne pas être purement financier, l’attaque peut être motivée par des considérations politiques, par exemple, ou faire partie d’une campagne d’espionnage industriel.
Dans une « escroquerie de port out », les cybercriminels contactent votre opérateur de téléphonie mobile et prétendent être vous. Des acteurs suffisamment expérimentés peuvent convaincre le représentant qu’ils sont les propriétaires de votre compte. Ils peuvent ensuite faire transférer votre numéro de smartphone vers un autre smartphone auquel ils ont accès. Toutes les communications par SMS sont envoyées à leur smartphone, pas au vôtre. Cela signifie que tous les codes d’authentification à deux facteurs basés sur SMS sont fournis aux cybercriminels.
Utiliser des techniques d’ingénierie sociale pour influencer les employés des opérateurs de téléphonie mobile n’est pas simple. Une méthode plus simple consiste à utiliser un service de messagerie texte d’entreprise en ligne. Ceux-ci sont utilisés par les organisations pour envoyer des rappels par SMS, des alertes de compte et des campagnes marketing. Ils sont aussi très bon marché. Pour environ 15 $, vous pouvez trouver un service qui transférera tout le trafic SMS d’un numéro de smartphone à un autre, pendant un mois.
Bien sûr, vous êtes censé posséder les deux smartphones ou avoir l’autorisation du propriétaire, mais ce n’est pas un problème pour les cybercriminels. Lorsqu’on leur demande si c’est le cas, il leur suffit de dire « oui ». Il n’y a pas plus de vérification que cela. Aucune compétence requise de la part des attaquants, et pourtant votre smartphone est compromis.
Ces types d’attaques sont tous axés sur l’authentification à deux facteurs basée sur SMS. Il existe des attaques qui contournent tout aussi facilement l’authentification à deux facteurs basée sur les applications. Les acteurs de la menace peuvent monter une campagne de phishing par e-mail ou utiliser le typosquattage pour diriger les gens vers une page de connexion convaincante mais frauduleuse.
Lorsqu’une victime essaie de se connecter, elle est invitée à saisir son identifiant et son mot de passe, ainsi que son code d’authentification à deux facteurs. Dès qu’ils tapent leur code d’authentification, ces informations d’identification sont automatiquement transmises à la page de connexion du site Web authentique et utilisées pour accéder au compte de la victime.
N’arrêtez pas de l’utiliser !
L’authentification à deux facteurs peut être surmontée par une gamme de techniques allant des techniques les plus exigeantes aux relativement simples. Malgré cela, l’authentification à deux facteurs reste une mesure de sécurité recommandée et doit être adoptée partout où elle est proposée. Même en présence de ces attaques, l’authentification à deux facteurs est un ordre de grandeur plus sûr qu’un simple schéma d’identifiant et de mot de passe.
Il est peu probable que les cybercriminels tentent de contourner votre authentification à deux facteurs, à moins que vous ne soyez une cible de grande valeur, de grande envergure ou autrement stratégique. Continuez donc à utiliser l’authentification à deux facteurs, c’est beaucoup plus sûr que de ne pas l’utiliser.