nist

Le NIST (National Institute of Standards and Technology) est un des acteurs majeurs américains pour le développement des standards technologiques liés à l’industrie. En ce sens, un récent article de cet organisme gouvernemental (fin juillet 2016) dénonce que l’authentification-forte (strong-authentification / 2FA) via des SMS sur mobile/smartphone est à présent dépréciée.

Entendant nous bien, c’est l’utilisation du téléphone pour la réception d’un SMS contenant un code OTP qui est jugée dépréciée. En aucun cas le principe de l’authentification-forte n’est à bannir ou à abandonner, bien au contraire !

« We are saying ‘deprecated,’ we are not saying ‘not allowed,’  » said Paul Grassi, senior standards and technology advisor at NIST. « We don’t want you to use SMS as a second factor, but we absolutely want two-factor authentication, in fact, we recommend it for all levels of assurance, »

En effet, nous vous en parlons régulièrement au travers de précédents articles, le simple couple « login / password » n’est plus jugé suffisant pour garantir la sécurité d’un accès. De nouveaux facteurs peuvent entrer en jeu, notamment :

  • Ce que l’on sait : le password
  • Ce que l’on a : le token physique ou le smartphone
  • Ce que l’on est : la biométrie (empreinte rétinienne, reconnaissance faciale, empreinte digitale, rythme cardiaque, fréquence vocale…)
  • Où l’on est : géolocalisation
  • Etc.

Se référer aux articles :

Le NIST a décrété que l’utilisation du second facteur « ce que l’on a », à savoir le téléphone pour recevoir des codes temporaires (OTP) par SMS n’est plus une solution viable et est à présent considérée comme dépréciée.

2FA via SMS

2FA via SMS

En effet, lors d’une authentification sur un service sécurisé par 2FA, le login, password et un code aléatoire valable sur un laps de temps donné peut être requis. Si ce code temporaire à usage unique et limité dans le temps est transmis par SMS à l’utilisateur, alors le degré global de sécurité est amoindri.

Le NIST a publié un draft détaillant les raisons qui les ont poussé à classifier le SMS comme déprécié via le document draft NIST Special Publication 800-63-3: Digital Authentication Guideline.

Deux raisons principales :

  • Dans un premier temps, les SMS ne sont pas toujours destinés à un appareil mobile / smartphone. En effet, il est possible d’envoyer des SMS dans des applicatifs VoIP type Skype ou encore Google Voice. A ce titre, le SMS est transmis sur l’ordinateur de l’utilisateur et agit ainsi comme un second password (« ce que l’on sait ») plutôt qu’un réel facteur distinct « ce que l’on a ».
  • Dans un second temps, les technologies et techniques d’interception / redirection des SMS évoluent et se démocratisent. Il est ainsi de plus en plus facile pour un assaillant d’intercepter ou re-router des SMS d’authentification vers le téléphone de son choix.

Une démonstration de l’interception / redirection de SMS pour voler n’importe quel compte Facebook à d’ailleurs été récemment réalisée :

https://www.youtube.com/watch?v=wc72mmsR6bM

Le message transmis par le NIST est clair : il est conseillé de s’orienter vers des solutions d’authentification-forte impliquant de réels facteurs distincts et robustes, telle que la biométrie. De nombreuses solutions sous la forme d’application Android / iOS existent, notamment Google Authenticator, la solution de notre partenaire inWebo ou encore PingID de PingIdentity.

Ces solutions génèrent des OTP ou proposent un « swipe » permettant de réaliser le second-facteur, et ce de manière sécurisée via « ce que l’on possède ».

Bien évidemment, considérer les SMS comme étant dépréciés pour la 2FA est sujet à de grands débats, dont les arguments peuvent se résumer à :

  • L’authentification-forte via SMS :
    • Pour : Pas besoin de télécharger une application tierce, et si quelqu’un tente de s’authentifier sur votre compte, le SMS de l’OTP vous sert d’alerte.
    • Contre : Il est possible d’hijack les SMS (SS7), et le NIST a statué que c’est déprécié. On peut ajouter qu’il est indispensable (et contraignant) d’avoir une couverture réseau pour recevoir l’OTP.
  • L’authentification-forte via des applications sur smartphone :
    • Pour : Les OTP générés dépendent de l’application installée sur le smartphone et n’ont pas de lien avec la carte SIM ou le numéro. De plus ces applications fonctionnent sans couverture réseau !
    • Contre : Les OTP par applications sur smartphone sont basés sur la synchronisation temporelle de l’appareil et d’une clé partagée. Si cette clé est compromise, un attaquant peut cloner l’application d’authentification avec vos paramétrages. Les OTP par SMS sont purement aléatoires, ils ne sont pas « prédictibles » en fonction du temps et d’un shared-secret. Finalement, utiliser une application 2FA sur smartphone pour s’authentifier sur le smartphone lui-même centralise la faiblesse sur le même équipement.

Le draft 800-63-3 est en cours de discussion publique et sera soumis définitivement vers la fin septembre 2017. D’ici là, n’hésitez pas à nous contacter pour toutes demande d’information, conseils, études, préconisations quant à la solution d’authentification-forte la plus adaptée et sécurisée vis-à-vis de vos besoins.

Sources & ressources :

Yann

Consultant Sécurité