Certains types d'authentification à deux facteurs (2FA) de sécurité ne peuvent plus être garantis pour empêcher les pirates d'entrer, le FBI aurait averti les entreprises américaines dans une note d'information distribuée le mois dernier.
Les rapports du FBI ont identifié plusieurs méthodes que les cyberacteurs utilisent pour contourner les techniques d'authentification multifactorielle populaires afin d'obtenir le code d'accès unique et d'accéder aux comptes protégés.
Le contournement le plus simple et donc le plus populaire est la fraude à l'échange de carte SIM, dans laquelle l'attaquant convainc un réseau mobile (ou corrompt un employé) de se servir du numéro de mobile d'une cible, lui permettant de recevoir 2FA codes de sécurité envoyés par SMS.
Naked Security couvre désormais régulièrement ce type de piratage, presque toujours parce qu'il a été utilisé pour vider les comptes bancaires des gens, voler la cryptomonnaie des portefeuilles ou des comptes d'échange, ou pour attaquer des services tels que PayPal.
Du point de vue de la victime, il s'agit de l'ultime menace - une faiblesse de sécurité causée par les défaillances d'un fournisseur de services dont il ne peut pas faire grand-chose pour se prévenir.
Une deuxième technique est l'attaque d'hameçonnage man in the middle qui incite les gens à entrer leurs informations d'identification et leur code OTP dans un faux site qui les transmet instantanément au vrai. Un bon exemple en est l'attaque du mois dernier contre les utilisateurs de YouTube, dont certains avaient 2FA activé.
Plus avancé encore est le détournement de session où le site est authentique, mais les informations d'identification et les codes sont volés dans le trafic à destination et en provenance de l'utilisateur.
Selon le FBI, dans un cas à partir de 2019, une faille de sécurité sur le site Web d'une banque a permis à un pirate de contourner le PIN et les questions de sécurité après le phishing des informations d'identification de base.
Surcharge d'avertissement
Les entreprises américaines ont-elles vraiment besoin d'être averties que la 2FA n'est pas parfaite par les fédéraux ?
Plus probablement, ils comprennent déjà les risques mais adoptent la position pragmatique que la sécurité 2FA basée sur les SMS, PINs et codes fonctionne toujours bien pour leurs clients et leurs employés la plupart du temps.
Sur ce point, ils ont raison - utiliser n'importe quelle forme de 2FA est toujours mieux que de se fier à un mot de passe et à un nom d'utilisateur.
La question est de savoir ce que la masse plus large des utilisateurs finaux pensera de tout cela. Bien que l'alerte ne soit pas une mauvaise politique en soi, il y a toujours un risque d'exagérer le risque quotidien pour les utilisateurs.
Perversement, cela pourrait dissuader les personnes mêmes qui bénéficieraient de la 2FA, à savoir la grande majorité de ceux qui ne l'utilisent pas en premier lieu.
Pendant ce temps, quiconque veut la sécurité 2FA la plus forte possible devra probablement envisager d'utiliser des tokens matériels FIDO2, une technologie qui n'a pas encore été attaquée dans le monde réel par des pirates.
A plus long terme, la solution pourrait être d'intégrer l'authentification dans le processus primaire en utilisant un standard tel que WebAuthn, qui permet aux sites Web et aux périphériques (smartphones, biométrie, Windows Hello, etc) de s'authentifier mutuellement.
L'avantage de cette approche est que les utilisateurs s'authentifieront eux-mêmes sans avoir à faire quoi que ce soit, ou même sans savoir que ce processus est en cours.
Cela pourrait mener à terme à la technologie de sécurité ultime - une technologie qui est si invisible que même les pirates informatiques luttent pour la voir.
sauce :
https://nakedsecurity.sophos.com/2019/10/11/hackers-bypassing-some-types-of-2fa-security-fbi-warns/