Authentification à facteurs multiples : le SMS reste mieux que rien

Bitdefender a reçu une jolie volée de bois vert, en ce mois de janvier, à l’occasion d’un tweet malheureux dans lequel il affirmait brutalement qu’il était recommandé aux utilisateurs de laisser tomber l’authentification à double facteur (2FA) reposant sur l’envoi de SMS. Pourquoi ? En raison des risques d’attaques par SIM-swapping, autrement dit par échange de carte SIM active sur une ligne. Et cela parce que ce risque a été clairement identifié outre-Atlantique.

Depuis l’été 2016, l’organisme de standardisation américain, le Nist, déconseille l’emploi du SMS pour l’authentification à double facteur. A l’époque, il acceptait que le SMS soit utilisé comme canal de transmission d’OTP, après que l’on se soit assuré que le numéro de téléphone visé correspond bien au téléphone mobile physique et qu’il n’est pas associé à un service de téléphonie sur IP.

Mais pour autant, le Nist était clair : pour lui, il y a bientôt trois ans déjà, le SMS était « obsolète ». Et de recommander l’usage d’un second canal qui « devrait être authentifié et protégé ». Qui plus est, « les vérificateurs hors bande devraient générer un secret d’authentification aléatoire avec au moins 20 bits d’entropie, en utilisant un générateur de nombres aléatoires approuvé ».

If everyone adopted some form of 2FA then credentials stuffing, well, it would be stuffed! Phishing would rely more on Phishing 2FA tokens and using reverse proxies which is alot harder than spinning up a shitty phishing pages, it drives the attackers to work harder...

— STUͣͬͭ ͣ ͬ ͭ (@cybersecstu) January 21, 2020

Mais voilà, les critiques n’ont pas manqué de se faire bruyamment entendre à l’encontre de la sortie de Bitdefender. Pour Lesley Carhart, chez Dragos, recommander sans nuance d’abandonner la 2FA basée sur le SMS est tout simplement « une très mauvaise idée ». Son avis est loin d’être isolé et Bitdefender a d’ailleurs fini par ajuster son message : « nous recommandons fortement à tout le monde d’utiliser la 2FA autant que possible, tout en relevant que certains mécanismes de 2FA sont plus sûrs que d’autres et qu’il y a, en effet, des attaques visant la 2FA par SMS ».

De fait, Microsoft assure que « 99,9 % des attaques contre l’identité ont été contrées en activant l’authentification à facteurs multiples (MFA) ». Elle intervient notamment pour empêcher les attaques dites de credential stuffing visant à essayer de multiples mots de passe contre un compte utilisateur donné afin de le détourner. Et la MFA constitue également un rempart supplémentaire en cas de tentative de détournement de compte à partir de mots de passe connus ayant été divulgués à l’occasion de brèches.

Alors pour beaucoup, c’est bien simple : la 2FA basée sur le SMS présente des risques, mais elle contribue déjà à réduire significativement le risque lié aux attaques par hameçonnage, ou encore de nombreuses tentatives de détournement de compte utilisateur. En somme, la 2FA par SMS devrait n’être choisie qu’en dernier recours. Mais faute de mieux, il faut l’activer.

Don't drop SMS 2FA unless there is an alternative, it's better than nothing. But do be aware that some services automatically enable your phone number for SMS password recovery, which can allow sim swappers to bypass all authentication. https://t.co/3qKJUUO9zi

— MalwareTech (@MalwareTechBlog) January 21, 2020

Alors selon Peter Baker, responsable de la marque Duo Security, le message à faire passer est simple : « les développeurs devraient abandonner la 2FA par SMS dans leurs produits en fournissant des alternatives plus sûres ». A l’instar des mécanismes de MFA basés sur des applications dédiées à la fourniture de jetons d’authentification par canal distinct ou de codes à usage unique et durée de vie limitée, voire encore des clés de sécurité physiques comme la Titan de Google ou celles de Yubico.