Les SMS sont vulnérables, authentification dangereuse
Qui a peur des SMS ? Moi, annonce tout de go Jan Valcke, Président & COO de VASCO Data Security. Il nous livre ici quelques conseils et réflexions.
Les SMS sont vulnérables. L’agence américaine National Institute of Standards and Technology a finalement confirmé ce que les professionnels de la sécurité et les hackers savaient depuis des années : les SMS sont vulnérables et ne peuvent plus être utilisés pour une authentification forte.
«Les SMS sont vulnérables et ne peuvent plus être utilisés pour une authentification forte, estime Jan Valcke. Les SMS ne sont pas à l’abri des regards indiscrets et il n’y a aucune garantie qu’ils soient envoyés au destinataire désiré.» Alors que tout le monde savait depuis longtemps que cette vérité allait finir par éclater, d’innombrables applications utilisent malgré tout les SMS comme mécanisme de sécurité. La question se pose dès lors de savoir pourquoi.
La protection des SMS est relative
Pour Jan Valcke, c’est très simple : lorsqu’on a commencé à perdre confiance dans la sécurisation par mot de passe, des services SMS ont été mis en place à la hâte afin de donner aux utilisateurs un sentiment de sécurité via un processus bon marché, omniprésent et facile à comprendre. En d’autres mots : «Nos services sont sécurisés, donc continuez à les utiliser, s’il vous plaît !». Dans le meilleur des cas, les SMS étaient utilisés pour accéder à des sites web présentant un risque faible. Dans le pire, la confiance mal placée était utilisée pour accéder à des propriétés intellectuelles (une cible de choix pour les hackers), à des réseaux et même par une série d’émetteurs de cartes de crédit et d’institutions financières. Les fournisseurs qui ne pouvaient pas offrir d’alternatives valables vantaient cette technologie avec des slogans vides de sens, tels qu’une authentification «out-of-band» et «step-up». En réalité, la protection via SMS n’est pas un véritable «deuxième facteur» comme certains l’ont prétendu. Les attaques contre les SMS ne sont pas théoriques mais généralisées.
Quel était donc le problème des SMS dès l’origine, et qu’est-ce qui a changé ? «Les SMS ont toujours été un chaînon ‘logique’ entre le numéro de téléphone d’un utilisateur et l’appareil qu’il tient en main, explique Jan Valcke. Avant l’apparition des smartphones et des applications, le danger résidait dans le compte sans fil de l’utilisateur. Changez le téléphone lié à un compte et vous recevez des messages sans devoir pirater ce compte. Dans les faits, vous faisiez confiance à votre fournisseur de services mobiles pour assurer votre sécurité. Dans certains cas, les fournisseurs ont effectivement amélioré la sécurité via ce type de manipulation, ce qui a peut-être permis de différer l’inévitable…»
SMS : authentification dangereuse
Trop de gens croient erronément que leurs SMS ne peuvent être consultés que par la personne qui possède le téléphone. Ils ont un faux sentiment de sécurité supplémentaire lorsqu’ils protègent l’accès à leur téléphone au moyen d’un mot de passe ou d’une empreinte digitale. À tort ! Il est désormais possible d’attaquer directement un téléphone. En téléchargeant toutes sortes d’applications, un utilisateur donne plein d’autorisations sans trop y réfléchir. Ou bien il les télécharge depuis une plate-forme non fiable, sur un téléphone débridé (iPhone) ou rooté (Android), et n’a pas la moindre idée des risques qu’il encourt en procédant de la sorte.
«Pensez aussi à la flopée d’applications disponibles à des fins ‘légitimes’, invite Jan Valcke. Vous aimeriez connaître les amis de vos enfants en lisant leurs messages ? Vous voulez aider votre père âgé en suivant les SMS d’un service déterminé ? Alors il vous suffit d’installer un programme d’aide SMS caché sur leur téléphone. Vous pouvez ainsi lire tous leurs messages entrants et sortants à distance. Si ce type d’application peut faire ça sur demande, pourquoi imaginer qu’un hacker ne pourrait pas dissimuler à votre insu des outils du même genre dans une application ? Vous comptez télécharger la dernière application populaire ? Vous recevrez en plus une série de fonctions que vous n’avez pas demandées et qui voleront peut-être vos informations d’enregistrement.»
Que faire alors ? Il y a des alternatives. L’application peut être sécurisée par Runtime Application Self Protection, avec une protection des transactions et des technologies qui relient votre appareil à votre compte, ce qui permet d’utiliser quand même votre téléphone mobile comme un deuxième facteur de sécurité.
«Depuis des années, enchaîne Jan Valcke, on dit que ‘les mots de passe sont dépassés !’, mais la plupart d’entre nous ne peuvent pas encore s’en passer. L’authentification basée sur des connaissances est tout aussi vulnérable. Alors qu’il apparaît que l’authentification par SMS est dangereuse, il faut assurer vraiment la sécurité des utilisateurs et de leurs appareils. Nous devons arrêter de considérer le SMS comme un moyen de protection, sans quoi nous allons en faire les frais jusqu’à ce que nous comprenions la leçon.»
Recevez les prochains articles par email, tous les mardi