Pourquoi vous devriez aussi cesser d’utiliser le SMS comme deuxième facteur d’authentification

Activer une authentification forte par défaut, au moins pour les connexions externes, est aujourd’hui une bonne pratique de base largement adoptée en matière de cybersécurité. Pourtant aujourd’hui, les mécanismes de création d’un deuxième facteur d’authentification ou de validation ne sont pas tous égaux face aux vulnérabilités.

Le populaire SMS est ainsi souvent dorénavant mis à ban car il a en effet le malheur de cumuler deux faiblesses :

Une vulnérabilité intrinsèque au protocole de communication mobile SS7. Pour rappel, SS7 permet aux réseaux téléphoniques d’échanger les informations nécessaires à la transmission d’appels et de SMS entre eux et de garantir une facturation correcte (voir le complétement d’infos en fin d’article)

Une augmentation des piratages de cartes SIM pour s’approprier le numéro mobile de la future victime (voir le complétement d’infos en fin d’article)
Aujourd’hui, la chaîne de sécurité du SMS dépend donc beaucoup des fournisseurs de télécommunication … et même trop pour certaines banques allemandes selon cet article:

Parmi les différentes solutions listées en bas de cet article, le SMS n’est donc certes pas parfait mais certainement préférable à une totale absence d’authentification forte. Hormis les coûts d’envoi induits, le SMS a en effet surtout l’avantage de ne nécessiter aucune manipulation pour l’utilisateur, ce qui est un avantage indéniable pour de larges populations incluant des non-experts en informatique confrontés à l’utilisation de smartphones et l’installation d’applications.

Bref, aucune authentification n’est bien sûr parfaite et il s’agit de trouver pour chaque environnement le bon compromis entre la sécurité et l’expérience utilisateur. L’important est d’aller de l’avant, d’améliorer pas à pas sa sécurité et surtout ne pas de laisser distancer par les cybercriminels.

A propos du piratage de cartes SIM :

Attention, la double authentification par SMS n’est pas si sécurisée

Il vient d’être démontré que les sécurités 2FA (2-factors authentication) ne sont pas toujours aussi sécurisées que l’on pourrait le penser. La faute à une faille dans les réseaux mobiles.

Afin de rajouter une couche de sécurité, de plus en plus de services font appel à une identification à deux facteurs. En plus d’un login et d’un mot de passe, le service demande à l’utilisateur de confirmer qu’il est bien l’instigateur de la requête en passant par son téléphone (ou tout autre appareil qu’il peut transporter sur lui). Cela peut se faire par une notification ou bien par un code reçu bien souvent par SMS (c’est le cas par exemple de la célèbre application WhatsApp ou encore d’Instagram). Les experts en sécurité de Positive Technologies ont démontré que cette dernière solution était loin d’être totalement fiable.

LES SMS SONT UNE FAIBLESSE
Dans une vidéo, les hackers expliquent que des failles du réseau de télécommunications (via le protocole Signaling System #7, ou SS7) permettent d’intercepter des SMS envoyés à un numéro. Dans leur exemple, le « pirate » n’a besoin que de quelques informations plutôt faciles à trouver sur sa cible : un nom, un prénom, une adresse e-mail et un numéro de téléphone.

À l’aide de ces quelques données, il est alors possible de prendre possession d’un compte Gmail, de changement le mot de passe et enfin de récupérer les paramètres d’identification de sites tiers, comme ici pour un portefeuille de cryptomonnaies.

Exploiter les failles du réseau SS7 n’est cependant pas chose aisée et un outil capable de récupérer ce genre de données peut coûter jusqu’à 20 millions de dollars au marché noir selon Ability Inc., une société de surveillance israélienne. Des chercheurs de Positive Technologies expliquent qu’« il est plus simple et moins cher d’avoir directement accès au réseau d’interconnexion SS7 plutôt que d’essayer de trouver un outil de piratage SS7 prêt à l’emploi ».

Il est donc conseillé d’utiliser d’autres méthodes d’identification 2FA, comme une application, ou de s’assurer qu’il existe des méthodes alternatives de récupération de compte, comme le propose Google par exemple.

RCS : le remplaçant du SMS comporte de nombreuses failles de sécurité

Les chercheurs de Security Research Labs (SRLabs) ont repéré une série de vulnérabilités au sein du protocole RCS implémenté par certains opérateurs. Le remplaçant du SMS est pourtant destiné à être utilisé par des centaines de millions d’utilisateurs.

Après avoir régné sans partage sur le monde de la téléphone mobile, le SMS (Short Message Service) passe le relais à son successeur, le RCS, pour Rich Communication Services. Face à la lenteur des opérateurs mobiles français à déployer ce nouveau protocole, Google a pris les devants à l’été 2019 en déployant ce standard sur les téléphones Android. À condition d’utiliser une application compatible, Google Messages en l’occurrence.

RCS, QUELS AVANTAGES ?
Le RCS revêt de nombreux avantages : en passant par la 4G ou la Wi-Fi, et non par le réseau GSM comme le faisait le SMS, ce protocole offre aux utilisateurs une kyrielle de fonctionnalités déjà proposées par les services Messenger ou WhatsApp par exemple. De la conversation groupée à l’appel vidéo en passant par la messagerie audio, le partage de la géolocalisation ou le transfert de fichiers, les options sont multiples, variées et utiles.

Alors que le RCS bénéficie d’un large déploiement impulsé par plus de cent opérateurs à travers le monde, des chercheurs de Security Research Labs (SRLabs) ont publié un rapport inquiétant sur la façon dont les entreprises de télécommunication l’intégraient à leurs services. Des failles à même d’être exploitées par des pirates informatiques ont en effet été décelées par les spécialistes.

Les principaux résultats de recherche se focalisent notamment sur le processus de « provisioning », dédié à l’activation du RCS sur un téléphone, qualifié de « mal protégé ». Google Messages n’implémenterait également pas assez de validation de domaine et de certificat, alors que la validation de l’identité de l’utilisateur comporterait elle aussi plusieurs faiblesses. L’entreprise de sécurité ne mentionne en revanche aucun opérateur.

En outre, une personne mal intentionnée serait capable de compromettre des données de géolocalisation, intercepter des messages et appels téléphoniques ou encore obtenir un code PIN à six chiffres à l’aide d’une attaque par force brute. « Nous trouvons que c’est en fait un pas en arrière pour un grand nombre de réseaux », a même déclaré Karsten Nohl, chercheur chez SRLabs au cours d’un entretien téléphonique avec Motherboard.

DES VULNÉRABILITÉS DÉJÀ CONNUES
Porte-parole de la GSMA, l’association qui gère le protocole, Claire Cranton tient à rassurer les professionnels du secteur et le grand public : « La GSMA est au courant des recherches menées par SRLabs sur la sécurité du RCS. Certaines vulnérabilités sont déjà connues, mais aucune nouvelle vulnérabilité n’a été signalée », peut-on lire dans les colonnes du média susmentionné.

Et de poursuivre : « Nous exprimons nos remerciements aux chercheurs ayant donné l’opportunité à l’industrie de prendre en considération leurs trouvailles. La GSMA accueille favorablement toute recherche qui renforce la sécurité et la confiance des utilisateurs des services mobiles, et qui encourage les chercheurs à soumettre leur travail à notre Coordinated Vulnerability Disclosure (CVD) Programme ». Autrement dit : passez votre chemin, tout est sous contrôle. On ne demande qu’à la croire.

Le SMS a 25 ans… et dire que personne n’en voulait !

https://www.ouest-france.fr/leditiondusoir/data/12029/reader/reader.html#!preferred/1/package/12029/pub/17191/page/6

Le SMS connaît un succès planétaire. Il s’en échange 22 milliards par jour. Pourtant, à l’origine, personne n’en voulait. Retour sur l’improbable success-story de cet incontournable outil de communication créé en 1992.
Honnêtement, imaginez-vous pouvoir vivre sans, aujourd’hui ? Vous peut-être, mais vos enfants, c’est moins sûr… Le SMS est devenu un incontournable outil de communication moderne.

Ces courts messages écrits (SMS est l’acronyme anglais de « short message service »), envoyés de téléphone portable à téléphone portable, continuent d’être largement plébiscité dans le monde entier : 8 000 milliards de textos ont été échangés dans le monde en 2016, soit 22 milliards par jour, 150 millions chaque minute. On estime que les Françaisen ont échangé près de 200 milliards.

On utilise tous ce moyen de communication de manière naturelle comme s’il avait toujours fait partie de nos vies. Pourtant, à son lancement, il y a 25 ans, il s’agissait d’un service technique qui n’était pas destiné au grand public…

Tout a commencé par une blague en 1992

« Il était inclus dans les réseaux 2G avec la norme GSM, il servait à contrôler le signal d’une antenne à l’autre, rappelle Jean-Michel Huet, dirigeant de Bearing Point, entreprise spécialisée dans le conseil en management et technologie télécom notamment. Les techniciens échangeaient ainsi du code, c’était un signal de vérification »

Au début des années 1990, Jean-Michel Huet a participé au lancement du SMS chez France Telecom (devenu Orange). « La légende veut que le 1er ou 2 décembre 1992, deux ingénieurs de Vodafone se sont envoyé des messages pour blaguer au lieu d’échanger du code : « Comment tu vas, joyeux Noël… » C’est à partir de ce moment-là qu’en interne, certains se sont dit qu’on pourrait utiliser cet outil de gestion technique comme outil de communication. »

Les consommateurs n’en voulaient pas…

L’idée a été commercialisée en 1994. Parallèlement, venaient de se développer les bippers du type Tatoo et Tam-Tam, ces boîtiers qui permettaient de recevoir un numéro de téléphone ou un court message par radiomessagerie… Les messages étaient d’abord limités à 160 caractères (20 de plus qu’un tweet, à l’origine). Il s’en vendait des millions en France.

« C’est la première fois qu’on associait de l’écriture à un terminal mobile, explique Jean-Michel Huet. Ça paraît fou aujourd’hui, mais à l’époque, paradoxalement, personne n’en voulait. De mémoire 85 % des gens que l’on interrogeait lors de nos études de marché refusaient catégoriquement ce service, partant du principe qu’un téléphone était fait pour parler et non pour écrire, se rappelle l’expert. Vingt-cinq ans après, au regard de l’usage que l’on a de nos téléphones, ça paraît incroyable ! »

Avec de tels retours d’études de marché, dans certains secteurs d’activités, le projet aurait été abandonné. Pas dans le domaine des télécoms qui répond à un marketing de l’offre plutôt que de la demande.

« Si on avait attendu de se fier à ce que voulaient les gens à l’époque, on ne serait peut-être pas encore passé au téléphone mobile, poursuit Jean-Michel Huet. Idem lors de la sortie de l’iPhone en France. Les études de marché montraient au départ que les Français n’en voulaient pas : ils n’étaient pas prêts à dépenser autant pour un portable… Avec du recul, c’est amusant, non ? »

15 centimes d’euros le SMS

En interne, la question du modèle économique fait hésiter. « La question que l’on se posait, à l’époque, était de savoir s’il fallait proposer un service gratuit ou payant, dans le forfait ou hors forfait », confie le spécialiste.

France Telecom opte pour le payant : 15 centimes d’euros, soit un franc le SMS. De rares opérateurs dans des pays asiatiques, comme les Philippines, proposent la gratuité. Les débuts sont donc timides. Mais le succès du payant est au rendez-vous à partir de 1999.

« Il a fallu attendre cette date pour que les SMS soient interopérables. Avant, ils ne fonctionnaient que d’Itinéris à Itinéris, de Bouygues Telecom à Bouygues Telecom ou de SFR à SFR… À partir de là, l’usage a explosé et a entraîné le développement du téléphone mobile qui n’était réservé, jusque-là, qu’aux plus aisés ou aux professionnels. » Jusqu’à ce que le SMS soit inclus dans les forfaits des opérateurs téléphoniques, il génère, à l’échelle mondiale, un chiffre d’affaires qui s’élève en milliards d’euros. Depuis, la marge est infime.

Aujourd’hui, le SMS est très utilisé. Son usage reste très fort avec le 31 décembre en point d’orgue. « Il a clairement tué la carte de vœux », note Jean-Michel Huet. Mais il est fortement concurrencé par de nouvelles applications de messagerie comme Whatsapp ou Messenger. Au point que certains prédisent sa mort depuis dix ans. Les nouvelles applications sont privilégiées par les consommateurs : 55 milliards par jour contre 20 milliards par jour pour le SMS.

Qu’est-ce qui remplacera le SMS ?

En France, le SMS surtaxé continue à profiter aux chaînes de télévisions qui invitent leurs téléspectateurs à voter, lors des émissions de téléréalité notamment. Dans certains pays en revanche, le SMS a déjà une seconde vie. Il est utilisé comme moyen de paiement par téléphone mobile. C’est le cas en Asie, en Amérique Latine et en Afrique, observe notamment Jean-Michel Huet.

« On échange des SMS avec des codes. C’est le véhicule sécurisé de l’ordre de paiement pour éviter le cash. C’est une source de développement dans les pays émergents. C’est plus sécurisé, hyper simple d’usage et cela évite aux gens de se déplacer. »

Dans le milieu des télécoms, le SMS est considéré comme une « killer app », c’est-à-dire une application qui tue (les autres applis), grâce à son succès phénoménal. En terme de revenus générés, il n’existe, pour le moment, aucun équivalent. Quel sera son remplaçant ? Il est encore trop tôt pour le dire. « La difficulté pour les opérateurs est de trouver l’application simple d’usage qui puisse cartonner autant. Le SMS est un très beau cas marketing d’un produit qu’on ne voulait pas mais dont la simplicité d’usage et l’utilité se sont imposées. »