Article co-écrit avec Kevin Prigent, Manager, Cyber Risk Services.

Le mot de passe est devenu en quelques années un compagnon quotidien des consommateurs mais aussi des salariés du monde de l’entreprise, tous secteurs d’activité confondus. L’actualité, et notamment les attaques massives sur des sites web visant à compromettre des milliers de mots de passe, n’a cessé dans le même temps de nous rappeler que le mot de passe est loin d’être un moyen d’authentification totalement fiable, et constitue de ce fait un risque pour l’entreprise. C’est pourquoi de plus en plus de sites web et d’entreprises optent aujourd’hui pour l’authentification « forte » : l’envoi d’un code SMS sur le téléphone du collaborateur a largement remplacé le Token RSA (écran qui affiche une série de chiffres aléatoire changeant très fréquemment). Mais la fiabilité de ces nouvelles solutions pose à nouveau question : qu’en est-il du niveau de sécurité du téléphone ? Les entreprises peuvent-elle considérer que leur niveau de sécurité ait été renforcé grâce à l’utilisation de l’authentification forte par SMS ?

Pourquoi l’authentification forte s’est-elle imposée dans le monde de l’entreprise ?

Une authentification forte nécessite d’utiliser a minima 2 facteurs parmi les 3 suivants : ce que nous savons (ex : mot de passe, date de naissance), ce que nous avons (ex : Token RSA, téléphone) et ce que nous sommes (ex : empreinte digitale, empreinte vocale). Jusqu’à maintenant, le développement de la biométrie est resté limité, en raison notamment de problématiques telles que le stockage des empreintes, des contraintes règlementaires imposées par la CNIL, des faux-positifs pouvant autoriser des tentatives illégitimes et des vrais-faux refusant les tentatives légitimes. Même si de belles perspectives commencent à s’ouvrir pour la biométrie, le marché est encore balbutiant, et très peu d’entreprises ont à ce jour opté pour ce type de solution.

Dans le même temps, l’augmentation exponentielle des ventes d’iPhone puis de Samsung a permis d’identifier un moyen efficace d’authentification dans la catégorie « ce que nous avons ». Ne restait plus ensuite qu’à choisir le moyen d’envoi (réseau opérateur ou internet). La solution retenue a été la communication par le réseau opérateur, sous forme de SMS contenant une information temporaire (un mot de passe jetable aussi appelé OTP pour One Time Password), permettant à l’utilisateur de s’authentifier fortement et ne pouvant servir qu’une seule fois.

Par la suite, les entreprises ont massivement adopté l’authentification forte par SMS. Preuve en est avec les banques en lignes qui utilisent par exemple le SMS pour s’assurer de l’identité de leurs clients lorsque ces derniers réalisent des opérations sensibles (ajout de compte pour un virement, activation de carte bancaire…). Ce mécanisme est également utilisé dans les produits Cloud tels que Office 365 pour authentifier les utilisateurs mais aussi les administrateurs.  En effet, la tendance étant à la migration des services dans le Cloud, les interfaces web d’administration accessibles depuis internet se multiplient. Autre exemple : une interface administrative web de gestion d’une flotte mobile d’entreprise (MDM) peut être configurée pour autoriser les administrateurs à se connecter uniquement s’ils sont authentifiés fortement avec un SMS OTP.

L’authentification par SMS est-elle un bon choix pour l’entreprise ? Les règles basiques de sécurité sont-elles vraiment respectées ?

Le Token RSA présentait un bon nombre d’inconvénients (erreurs de synchronisation, coûts élevés…) mais il avait un avantage majeur : aucune autre application ne pouvait être installée ou lancée en parallèle afin de ne pas compromettre le niveau de sécurité du Token.

Il en va tout autrement sur téléphone. Les magasins d’applications regorgent d’applications au niveau de sécurité douteux, parmi lesquelles nous pouvons citer l’application météo au très beau design qui accède aux sms, l’application de gestion des contacts qui accède à tout le répertoire ainsi qu’aux emails etc.

Le niveau de sécurité du téléphone ne peut donc plus vraiment être garanti. L’actualité récente ne cesse de le confirmer : les publications sur les failles et vulnérabilités des téléphones sont croissantes, à tel point que le NIST en juillet 2016 classe le OTP SMS comme fortement déconseillé et en bannit l’usage pour les accès à des infrastructures gouvernementales.

L’authentification forte en contexte professionnel : oui, mais en prenant toutes les précautions nécessaires !

Voici quelques scénarios « à risques » qui pourraient conduire à une faille dans l’authentification du collaborateur et représenter un danger pour l’entreprise. Ces situations, dont les collaborateurs peuvent avoir conscience ou non, sont à connaître et éviter en cas d’utilisation d’un système d’authentification forte par l’entreprise.

–      L’affichage des messages textes sur l’écran d’accueil fait partie des paramètres activés. Cette situation est à risque car il suffirait de voir l’écran du téléphone pour prendre connaissance du code envoyé.

–      Le verrouillage automatique du téléphone ne fait pas partie des paramètres activés. Il suffirait d’avoir le téléphone en main pendant 10 secondes pour accéder à l’information confidentielle.

–      Le code de déverrouillage du téléphone est composé de 4 chiffres que l’on peut facilement deviner (0000, date de naissance…) ou lire par-dessus l’épaule (accidentellement bien sûr).

–      Le téléphone n’est pas mis à jour régulièrement.

–      Le processus d’enrôlement du téléphone n’est pas fiable (un autre téléphone pourrait être enregistré).

–      Des personnes malveillantes ont accès au contenu de votre téléphone, suite à la lecture d’un mail ou d’un site malicieux.

–      L’infrastructure du réseau téléphonique est compromise. Impossible ? Pas si sûr

Retenons de ce rapide panorama que le déploiement massif de l’authentification forte par SMS n’implique pas nécessairement une augmentation de fiabilité de la chaine d’authentification, et ne dispense pas l’entreprise d’une analyse de risques sécurité préliminaire exhaustive. Définir des politiques de sécurité sur ce nouveau périmètre, sensibiliser les collaborateurs aux risques inhérents à ce type de solution et diffuser un code de bonnes pratiques est donc un passage obligé pour toute organisation désireuse de se protéger au mieux contre d’éventuelles attaques.

 

Pour en savoir plus sur le sujet, n’hésitez pas à me contacter.