Se connecter avec
S'enregistrer | Connectez-vous

Les authentifications fortes affaiblies

Par - Source: Gartner | B 5 commentaires

Gartner Research a annoncé que les méthodes d’authentifications fortes qui requièrent deux facteurs sont à la merci de pirates expérimentés.

Authentifications fortes

Une authentification est un procédé utilisé pour identifier une machine ou une personne sur un réseau. Elle est dite forte lorsque deux « facteurs » ou plus sont utilisés, par exemple un mot de passe et une empreinte digitale. En principe, l’augmentation des facteurs accroît la sécurité du procédé.

Les authentifications à deux facteurs sont courantes dans les milieux professionnels. Un site bancaire peut ainsi demander un mot de passe et un code à usage unique généré entre la machine authentifiée et le serveur. Or, ce système est aujourd’hui vulnérable à une attaque de l’homme du milieu.

Imposture et diversion

Concrètement, les banques reposant sur un appel téléphonique du propriétaire du compte comme l’un des facteurs d’authentification ont déjà vu des pirates arriver à transférer les appels des utilisateurs sur leur téléphone qui enregistre l’appel pour le rejouer à la banque en passant pour le client. Les hackers utilisent enfin des logiciels pour intercepter le trafic réseau et rediriger le site de la banque vers leur machine afin de profiter du code à usage unique sans que l’utilisateur s’en aperçoive. Certains pirates arrivent même à réécrire les informations du navigateur de l’utilisateur qui pense que son compte est normal alors qu’il a été lapidé, le but étant de retarder le plus possible la découverte de la fraude et donner le temps au pirate d’échapper au système judiciaire.

Les pertes liées à ce genre d’attaques s’élèvent aujourd’hui à près de 100 millions de dollars (env. 70 millions d’euros) selon l’Internet Crime Complaint Center. L’un des malwares utilisé dans ce genre d’attaque est le cheval de Troie Zeus, connu pour avoir été injecté sur un cloud Amazon EC2 la semaine dernière (cf. « Les déboires d’Amazon EC2 »).

De l’importance d’être à jour

Gartner encourage les entreprises à prendre de nouvelles mesures pour se protéger, en changeant les facteurs d’authentifications afin d’abandonner l’appel téléphonique et le code à usage unique pour des méthodes plus sûres comme la biométrie, le RFID, etc. Il est aussi possible d'augmenter le nombre de facteurs et de faire appel à des méthodes de communications différentes de celles utilisées pour accéder aux informations. Par exemple, utiliser autre chose que le navigateur Internet comme moyen d’authentification.

Commentaires
Afficher les 5 commentaires.
Cette page n'accepte plus de commentaires
  • batchy , 15 décembre 2009 20:14
    "pour des méthodes plus sûres comme la biométrie, le RFID, etc."

    Mais LOL quoi. La biométrie n'offre aucune garantie quand c'est utilisé à distance, et il n'y a aucun moyen de changer ton iris ou tes doigts si tes empruntes sont compromises. Je me suis dit que chez Gartner c'est des gros nuls, mais justement ils racontent la même chose que moi :
    Citation :
    Other strong authentication factors, such as those using chip cards and biometric technology that rely on browser communications, can be similarly defeated.
  • dbug , 16 décembre 2009 10:58
    Batchy"pour des méthodes plus sûres comme la biométrie, le RFID, etc."Mais LOL quoi. La biométrie n'offre aucune garantie quand c'est utilisé à distance, et il n'y a aucun moyen de changer ton iris ou tes doigts si tes empruntes sont compromises. Je me suis dit que chez Gartner c'est des gros nuls, mais justement ils racontent la même chose que moi :

    Qu'est ce que tu entends par empruntes compromises ?
    Car la biométrie est un moyen sûr pour des systèmes d'identification, c'est l'attaque par MIM qui permet par contre de falsifier / dupliquer des données déjà envoyées sans cryptage ... Si par contre une tierce entreprise met à disposition un appareil biométrique et un système d'échange crypté pour valider l'identité (ie l'emprunte ou l'iris) de la personne alors ne peut-on pas considérer que le système est fiable ?
    C'est le "that rely on browser communication" qui est important il me semble, pas le "à distance".
  • Imp , 16 décembre 2009 22:30
    Citation :
    Par exemple, utiliser autre chose que le navigateur Internet comme moyen d’authentification.

    Exemple ?
  • shooby , 17 décembre 2009 17:24
    De toute façon, je crois que les pirates dépenseront toujours plus d'energie et de temps à contrecarrer les procédure de sécurités que ce que dépense les concepteurs de cesprocédures, donc les premiers trouveront toujours les failles des seconds
  • batchy , 17 décembre 2009 21:08
    Citation :
    Qu'est ce que tu entends par empruntes compromises ?
    L'empreinte compromise c'est l'empreinte qu'on trouve sur le verre que t'a touché avec tes doigts. Si tu y a laissé tes 10 doigts, t'est foutu. Pour l'iris, c'est plus difficile mais pas impossible, et surtout, tu en a que deux.
    Citation :
    Car la biométrie est un moyen sûr pour des systèmes d'identification
    C'est un bon outil d'identification en local, mais c'est tout. l'identification, on va pas loin avec.
    Citation :
    c'est l'attaque par MIM qui permet par contre de falsifier / dupliquer des données déjà envoyées sans cryptage ...
    Si l'empreinte est compromise ça te servira pas à grande chose : le seul secret que tu à, l'attaquant l'a aussi.
    Citation :
    Si par contre une tierce entreprise met à disposition un appareil biométrique et un système d'échange crypté pour valider l'identité (ie l'emprunte ou l'iris) de la personne alors ne peut-on pas considérer que le système est fiable ?
    Non ça te sert à rien : l'attaquant n'a qu'a prendre un appareil et le bidouiller pour lui faire lire l'empreinte qu'il à trouvé. Si l'appareil contient un secret, alors c'est plus l'appareil qui sécurise que la biométrie.