La solution étant de se mettre tout simplement d’accord sur un format texte commun afin que leur utilisation puisse être automatisée sans la nécessité d’une interaction risquée avec l’utilisateur.
Le concept proposé par l’équipe Safari WebKit de l’entreprise est que les applications telles que les navigateurs mobiles traiteront automatiquement les codes 2FA SMS dès leur réception, en les soumettant au site web concerné.
Cette méthode permet de contourner le danger actuel représenté par des sites web de phishing qui essaient d’abord de tromper les utilisateurs en les incitant à saisir leur mot de passe et leur nom d’utilisateur, avant de leur demander d’entrer, au niveau de ce même faux site, le code 2FA correct envoyé au préalable sur leur téléphone.
Mais pour que l’idée soit réalisable, trois problèmes doivent être surmontés.
Le premier est que les codes 2FA actuels sont envoyés en utilisant une gamme de formats texte qui rend difficile l’extraction correcte des données 2FA et du nom de domaine du site web concerné.
Par exemple, les codes 2FA de PayPal ressemblent à ceci :
Votre code de sécurité est 123456. Votre code expire dans 5 minutes. Veuillez ne pas répondre à ce message.
Ceux de la plateforme de jeu Steam se présentent comme suit :
Votre code de vérification Steam est AB1C2.
Ou bien encore ceux de Facebook sont envoyés comme indiqué ci-dessous :
Utilisez 123456 pour vous connecter à Facebook.
Et ainsi de suite, chaque système envoyant donc des équivalents légèrement différents, que même la technologie d’analyse heuristique a du mal à interpréter sans faire d’erreurs. Les messages intègrent également rarement les domaines auxquels les codes se réfèrent.
La suggestion d’Apple est un format texte léger conçu pour être “aussi simple que possible“, et qui ressemblerait à celui présenté ci-dessous :
747723 est votre code d'authentification XYZ.com.
@XYZ.com #747723
La première ligne est utilisée pour faire comprendre le message au destinataire, la seconde étant la partie que les applications traiteraient, incluant l’URL correcte.
Les utilisateurs recevant l’un de ces nouveaux codes 2FA SMS n’auraient rien à faire. Les données seraient automatiquement extraites par l’application effectuant l’authentification.
Une méthode depuis longtemps en sursis
Ensuite, concernant le deuxième problème, à savoir que cette méthode devienne universelle, il faut que tous les grands noms du secteur y adhèrent. Jusqu’à présent, seul Google semble intéressé tandis que Mozilla et Microsoft n’ont pas encore clarifié leur position.
Mais même s’ils sautent le pas, il existe tout de même un troisième problème, à savoir le sentiment croissant que la vérification par SMS est un concept intrinsèquement peu sûr que les entreprises devraient cesser d’utiliser, et ce une bonne fois pour toute !
La pire des stratégies en matière d’amélioration de la sécurité serait d’ignorer des attaques sérieuses telles que la fraude par SIM Swap, où les cybercriminels reçoivent des codes de sécurité après avoir piraté le compte mobile de l’utilisateur.
Tout dépendra de Google, qui a récemment mis en avant, selon l’entreprise, des alternatives plus sécurisées à la réception de codes SMS telles que les applications d’authentification, la norme WebAuthn ou encore les jetons matériels.
Plus récemment, cependant, il a adopté une approche plus pragmatique et a suggéré d’améliorer la communication par SMS en utilisant des initiatives telles que le ‘SMS Vérifié pour les Messages‘ (Verified SMS for Messages) conçu pour authentifier les entreprises envoyant des messages SMS, y compris en théorie, leurs codes 2FA.
Cette initiative semble valider le fait que les canaux de sécurisation imparfaits tels que les SMS ne disparaîtront peut-être pas et que les internautes continueront de les utiliser pendant un certain temps encore. Mieux vaut donc continuer d’améliorer leur sécurité tant qu’ils sont encore utilisés.
Dernier podcast Sophos-Naked Security
Billet inspiré de Apple proposes simple security upgrade for SMS 2FA codes, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.