Quand la sécurité atteint ses limites (dès le départ…)

D’où l’importance d’intégrer la sécurité dès le départ, non seulement dans les projets, mais également dans l’enseignement. On ne peut donc que saluer et plébisciter une initiative telle que le projet porté par l’association CyberEdu, dont le Président n’est autre que Monsieur Gérard Peliks.

Ces dernières semaines, c’est l’authentification à double facteur qui a particulièrement souffert !
Le but de ce mécanisme, étant d’augmenter la sécurité lors d’une authentification en ajoutant une condition supplémentaire au couple classique « identifiant / mot de passe » pour permettre l’autorisation d’accès. On peut retrouver des technologies telles que la biométrie, l’OTP (One Time Password ou mot de passe à usage unique) avec l’envoi d’un SMS par exemple, un dispositif physique, carte à puce, clé USB…

Premier à avoir souffert il y a une bonne vingtaine de jours, le très connu gestionnaire de mots de passe en ligne LastPass, souvent attaqué, en conséquence de son utilisation massive, et trop souvent cassé, malheureusement.
Une équipe de chercheurs a récemment découvert que le jeton d’authentification du second facteur était dérivé du mot de passe. Le deuxième facteur perd donc tout son intérêt, puisque son but est de protéger au-delà du vol de mot de passe, mais dans ce cas précis, avec le mot de passe, il était possible d’obtenir la clé de la « serrure de secours ».

Dans le secteur de la santé, on pourrait comparer ce système au calcul de l’INS-C. L’INS-C avait pour but de protéger l’identité d’un patient en calculant un identifiant national de santé ne permettant pas la réauthentification. Seul problème, c’est qu’avec le NIR (ou « numéro de sécu »), le prénom du patient et sa date de naissance, il est assez facile de calculer son INS-C, et par conséquent, sur une attaque ciblée, assez facile de retrouver les informations d’un patient avec son INS-C. En effet les détails du calcul sont disponibles publiquement sur le site de l’ASIP Santé, un site non officiel propose même d’effectuer ce calcul pour vous (je vous déconseille de jouer avec de vraies informations sur ce site non officiel et n’utilisant pas de chiffrement). On peut donc dire, que l’INS-C n’apporte pas vraiment une réelle protection pour la confidentialité des données. Pour rappel, la France a tranchée, ce sera bientôt le NIR qui sera utilisé comme identifiant national de santé.

La semaine dernière, c’est une campagne de phishing massive visant les utilisateurs disposant d’un compte Google qui a fait beaucoup de bruit. Et là encore l’authentification à deux facteurs n’aura pas permis de sauver les utilisateurs. Vous avez déjà vu des sites Internet vous proposant de vous authentifier avec votre compte Facebook ou Google (très, très mauvaise idée, je vous le déconseille fortement) plutôt que de vous créer un compte spécifique au site en question. C’est le protocole OAuth permettant la délégation de l’authentification d’un site à l’API de connexion d’un autre site qui est utilisé.
C’est sur ce principe que s’est basée cette attaque. Les victimes ont reçu un lien vers un faux document Google Docs. Sur ce site malfaisant, l’API de connexion de Google était utilisée, par conséquent, les victimes s’authentifiaient bien chez Google, avec leur deuxième facteur (code reçu par SMS, si actif), jusque-là tout va « bien ». Le site malveillant, demandait ensuite un accès complet au compte GMAIL de ses victimes pour pouvoir utiliser cette fausse application Google Docs. En cliquant sur « autoriser », les victimes ont donc donné accès à leur compte GMAIL à l’attaquant : #PERDU !

Quelques jours avant cet incident, j’ai découvert EvilGinx, un outil clé en main permettant de faire de la sensibilisation (mais qui pourrait bien être utilisé par des personnes moins bienveillantes), qui par le biais d’une page de Phishing (au choix, Google, Dropbox, Facebook ou Linkedin) sert de « proxy » pour une authentification légitime et permet de récupérer le jeton d’authentification en plus du mot de passe, et donc de se retrouver connecter à la place de la victime sans même avoir à s’authentifier. Ce qui permet d’envisager derrière pas mal de scénarios, comme la redirection de mails vers une autre boite, le vol d’informations, la prise de contrôle du compte…
Je vous invite à visionner la vidéo de présentation qui est extrêmement explicite.

Malgré ces faiblesses démontrées, l’authentification à plusieurs facteurs reste une sécurité à ne pas négliger !