Blog
 
"Double authentification" (ou "two-factor authentication" / 2FA) : code éphémère par SMS (Feuilleton, n° 2)

Publiée le : 26/01/2020

La forme la plus "simple" de la "double authentification" / "authentification par 2 facteurs" est la réception d'un code éphémère par SMS.

Ce mode d'authentification suppose que vous vous êtes d'abord authentifié avec vos identifiants habituels et statiques (un nom d'utilisateur -qui peut être une adresse courriel- et un mot de passe qui ne change pas).
On suppose que cette première étape est couronnée de succès.

Mais pour éviter que quelqu'un ait deviné votre mot de passe, ou l'a intercepté (de visu, par keylogger, par écoute réseau, par ruse ou autorité, par menace ou torture...) peut le "re-jouer" on va y rajouter un 2ième mot de passe qui lui sera dynamique dans le sens :
- qu'il changera à chaque fois
- qu'il aura une durée de vie très limitée (quelques minutes)
- qu'il sera envoyé via un autre canal de communication que celui que vous avez utilisé pour saisis vos identifiants (nom d'utilisateur et mot de passe)

Puisque le système vous reconnait déjà (le nom d'utilisateur et le mot de passe sont correctes), il peut trouver dans sa base de donnée votre numéro de téléphone (supposons vous l'avez saisi).
Le système génère alors un mot de passe aléatoire (d'habitude une série de 6 chiffres, mais cela peut être autre chose), et l'envoi par SMS au numéro de téléphone qu'il connait.

La supposition est maintenant que c'est vous qui êtes en possession de votre téléphone.
Il faut avouer que les choses se compliquent quand votre téléphone est volé ou perdu...
Si vous l'avez en votre possession, vous recevrez le SMS, et vous pourrez copier le code là ou l'interface le demande pour compléter votre identification.

Quel est l'avantage ?

1/ On suppose que si quelqu'un a deviné ou intercepté votre identifiant (nom d'utilisateur et mot de passe) via un canal, il y a peu de probabilité qu'il arrive aussi à intercepter le "2ième mot de passe" qui vous est transmis via un autre canal (le téléphone).

2/ En plus ce 2ième mot de passe aura une courte durée de vie : quelques minutes. Donc si quelqu'un arrive à accéder à votre téléphone, il sera probablement déjà trop tard : le code ne sera plus valide.

3/ Si quelqu'un arrive à intercepter le 2ième mot de passe que vous avez saisie dans l'interface web, il ne pourra plus rien en faire : le mot de passe est éphémère et ne peut être utilisé que une fois, après il est désactivé. Il ne sert donc plus à rien après.

On voit qu'avec un code envoyé par SMS on arrive déjà à sécuriser beaucoup l'identification.

Quel sont les risques ?

Les problèmes vont survenir si vous avez perdu votre téléphone ou qu'on vous l'a volé.

1/ D'abord, la "double authentification" par SMS suppose que l'accès à votre téléphone / smartphone est protégé : vous avez mis un code, un mot de passe, une empreinte digitale, un scan iris, etc...
Sinon... celui qui aura volé votre smartphone n'aura qu'à consulter les SMS ...

2/ Attention au piège : si vous avez activé sur votre smartphone que les SMS sont montré sur votre écran de veille (sans avoir à donner votre code d'accès, il faut l'avouer, c'est tellement plus pratique pour lire les SMS entrants), la protection s'écroule : celui qui possède votre mot de passe n'aura plus qu'à regarder votre écran de veille (donc on désactive cette fonction bien pratique mais pas sécurisée !).
Même pas besoin de connaitre votre code qui déverrouille votre smartphone
.

A quoi faut-il penser ?

Veiller à prévoir une solution "double authentification" alternative au cas où vous perdez votre smartphone, pour ne pas être piégé !)
Si le prestataire le propose saisissez un deuxième numéro de téléphone de secours (de quelqu'un en qui vous avez confiance, ou une autre carte SIM à petit prix mensuel -il y en a à quelques euros par mois- que vous gardez soigneusement séparé de votre téléphone normal.)

Est-ce 100% sécurisé ?

Pas si simple !
Si vous êtes un simple mortel comme vous et moi, la protection supplémentaire apportée par le code envoyé par SMS est probablement déjà une grande amélioration.

Par contre si vous êtes un mortel qui a une fonction politique (Monsieur le Président, si vous me lisez...), qui détenez des secrets industriels ou militaire, ou si vous avez beaucoup d'argent (je suis honoré que vous lisez ce blog : si vous chercher un investissement dans une petite PME contactez-nous) : la situation peut être différente : un pirate pourrait faire l'effort d'intercepter le SMS.

Comment :

1/ En s'infiltrant dans les réseaux des opérateurs téléphoniques.
OK, ce n'est pas à notre porté, mais des équipes aux services d'un état ou d'une organisation puissante pourraient être tentées. Une simple somme d'argent dans les pays ou la corruption n'est pas l'exception pourrait faciliter les choses.

2/ En essayant d'usurper votre identité auprès de votre opérateur téléphonique.
Il faudra probablement une copie de votre carte d'identité, mais n'avez-vous jamais envoyé une copie de votre carte d'identité à l'un ou l'autre service ? Savez-vous ce qui s'est fait après de cette copie ?
Il devra aussi se "prouver" en livrant un certain nombre d'autre informations vous concernant, mais pour qui cherche cela peut se trouver (surtout si vous l'avez vous-même mentionné sur vos réseaux sociaux...)
Une fois l'usurpation d'identité a leurré votre opérateur téléphonique ("ingénierie sociale" dit-on) il ne reste plus qu'à prétendre à la perte de votre carte SIM pour faire envoyer une nouvelle carte SIM à l'adresse du pirate (car bien sur entre temps le faux-vous a déménagé).
Vous pensez que c'est du roman ? Pas tout à fait. Des "célébrités" en ont fait les frais quand il s'agissait d'accéder à leurs photos privées. Et le fondateur de twitter a vu son propre compte twitter piraté par ce biais il n'y a pas longtemps.

Existe-t-il une "double authentification" encore plus sécurisé ?
Oui, plusieurs même ! On y reviendra une prochaine fois.


Retour à la liste