« Mettez en place une authentification à double facteur. » Les experts de cybersécurité du monde entier dispensent ce conseil lorsqu’une attaque majeure de phishing fait les gros titres. Même s’il est tout à fait vrai que c'est une méthode de sécurité secondaire recommandée pour les entreprises, il ne s’agit pas pour autant d’une panacée. En effet, les cybercriminels ont souvent une longueur d’avance sur les experts et ils ont déjà appris à contourner cette sécurité.
Comment ça marche ?
L’authentification à double facteur consiste à authentifier un utilisateur selon deux méthodes distinctes. Il peut par exemple s’agir de la saisie d’un nom d’utilisateur et d’un mot de passe, associée à une autre méthode. L’utilisation d’un distributeur de billets en constitue une bonne illustration : pour pouvoir retirer de l’argent, vous avez besoin à la fois de votre code secret et de la carte. Les sites Web de nombreux établissements financiers ont recours à deux facteurs et vous demandent ainsi de vous identifier à l’aide d’un code qu’ils vous envoient par email, SMS ou appel vocal si aucun cookie n’est enregistré dans votre navigateur.
Il existe également des mécanismes matériels comme la Yubikey, un appareil qui se branche en USB sur un ordinateur et envoie un mot de passe à usage unique et haché lorsque l’utilisateur appuie sur son bouton. Le service d’authentification doit faire l’objet d’une configuration spécifique, mais la prise en charge de ce hachage est répandue et le code d’intégration est open source. C’est d’ailleurs l’une des options que Microsoft a choisies pour la connexion à l’ensemble des services Web d’Office 365.
Il existe également des systèmes de rotation des clés. Ce mécanisme logiciel ou matériel est synchronisé à un serveur et associé à un utilisateur. Il génère un code variable à plusieurs chiffres ajouté à la fin du mot de passe. Le destinataire du code combiné dissocie ces deux éléments et vérifie le code auprès d’un serveur d’authentification. Ce système externe suit la même idée que l’envoi d’un SMS contenant un code à usage unique.
Les avantages de ce type d'authentification sont évidents : l’ajout d’un niveau de sécurité supplémentaire à une transaction ou à un compte signifie que le hacker a besoin des deux clés pour accomplir son forfait. Si nous reprenons l’exemple du distributeur de billets, le vol de votre carte sans accès au code ne permet pas de vider votre compte facilement. De la même façon, un utilisateur malveillant qui dispose de votre mot de passe, mais pas de votre clé d’authentification, ne pourrait pas s’emparer de votre compte et utiliser ses données pour accéder à des services bancaires ou autres.
Limites de l’authentification à double facteur
Cette méthode présente toutefois un défaut important : elle ne peut intervenir que dans le cadre d’une transaction. Par exemple, si vous utilisez un service VPN qui demande une double authentification, la session que vous établissez est authentifiée jusqu’à votre déconnexion. Si vous utilisez la double authentification pour accéder au site Web de votre compagnie d’assurance, un cookie de session est enregistré et permet de vous identifier auprès du serveur. Une fois que vous vous déconnectez, ce cookie est effacé et vous devez vous authentifier de nouveau. Cela ne pose pas de problème dans ce type de contexte, mais si vous utilisez par exemple votre appareil mobile pour consulter vos emails, cela devient rapidement pénible, car vous devez y recourir chaque fois que vous voulez lire vos emails ou en envoyer un.
Mais le défaut majeur de ici réside dans le fait que la fiabilité d’une méthode d’authentification dépend de la confiance qui lui est accordée. Si un utilisateur reçoit un message de phishing l’invitant à se connecter à son compte bancaire et contenant un lien vers un site ressemblant trait pour trait à celui de sa banque, il n’hésitera pas à se rendre sur ce site et à saisir son nom d’utilisateur et son mot de passe, puis ses données d’authentification à double facteur. Le site de phishing n’a ensuite plus qu’à utiliser les deux éléments pour se connecter sur le véritable site de la banque. L’utilisateur ayant « fait confiance » au site de phishing, il lui a confié ses informations d’identification, rendant ainsi le deuxième facteur inutile.
Le consultant en sécurité et ancien hacker Kevin Mitnick a récemment montré comment les données d’authentification à double facteur sont enregistrées dans des cookies de session. Une fois que la victime d’une attaque de phishing a ajouté son code d’authentification à un site Web, le hacker peut récupérer le cookie de session depuis les outils développeur intégrés dans certains navigateurs, comme Chrome. Le hacker n’a alors pas besoin du nom d’utilisateur et du mot de passe de la victime : il lui suffit de coller le cookie de session dans un navigateur pour accéder au compte de la victime.
Pire encore, cette stratégie insuffle un faux sentiment de sécurité. Le succès des attaques de phishing est lié à leur recours à des manipulations psychologiques. En utilisant ce type de sécurité connue et populaire, le cybercriminel a poussé sa victime à lui communiquer ses informations personnelles, mais également à baisser sa garde.
Cela peut donc ajouter un niveau de sécurité à de nombreuses applications, mais elle ne suffit pas. Protégez vos utilisateurs finaux de menaces parfois coûteuses en choisissant Vade pour Office 365. Cette solution repose sur l’IA et l’apprentissage automatique pour détecter les attaques de phishing ciblées et dispose d’une fonction de neutralisation automatique permettant de réévaluer les menaces ayant pu passer au travers des mailles du filet.
