L'utilisateur moyen sans droit d'accès spécial devrait-il s'inquiéter de l'interception théorique de la 2FA basée sur SMS?
Les experts en sécurité découragent constamment les utilisateurs d'utiliser des systèmes 2FA basés sur SMS, généralement en raison des craintes que le code d'authentification puisse être intercepté par un attaquant, que ce soit par échange de carte SIM ou attaque MitM.
Le problème que je vois avec cette déclaration est que ces deux attaques me semblent comme étant essentiellement réalisables uniquement pour les attaques ciblant un utilisateur spécifique dans le but de violer un service ciblé. Des attaques comme celle qui a enfreint Reddit l'année dernière, où un administrateur Reddit a fait intercepter son jeton SMS 2FA.
Vous ne pouvez pas effectuer d'attaques d'échange de cartes SIM de manière automatisée ou même à grande échelle (sauf en cas de problème grave avec un fournisseur de téléphone). Le cybercriminel moyen n'a pas les ressources nécessaires pour intercepter MitM SMS messages pour les personnes réparties dans une ville, un pays ou un continent. D'après mon interprétation, les seules personnes qui devraient activement éviter les SMS- les systèmes basés sur 2FA sont ceux qui sont susceptibles d'être ciblés pour des attaques spécifiques, mais ceux-ci sont rares.
Prenons un Joe moyen, qui a environ 100 comptes, mais qui n'utilise pas de gestionnaire de mots de passe (il a donc la réutilisation des mots de passe). Il n'a pas d'accès spécial aux principaux services. Il n'a aucun statut de célébrité ou nom d'utilisateur spécial. Il est un employé régulier non cadre de son bureau, sans accès spécial à la base de code ou au produit de son entreprise. En d'autres termes, il est peu probable qu'il soit la cible d'une attaque spécifiquement dirigée contre lui.
Dans ce contexte, Joe devrait-il s'inquiéter du fait que le 2FA basé sur SMS qu'il utilise pour Facebook, Twitter, Google, Dropbox, Slack et Nest présente des vulnérabilités théoriques?
Il n'y a pas de véritable concept d'un "utilisateur moyen sans droits d'accès spéciaux" . Du point de vue d'un attaquant, le point principal est que si l'effort nécessaire à une attaque est inférieur au gain de l'attaque. Même un "utilisateur moyen" peut avoir des portefeuilles cryptographiques ou de précieux comptes Twitter. Parfois, le gain d'une attaque n'est pas aussi évident, comme lorsqu'une cible apparemment sans importance est piratée en tant que première étape d'une attaque de chaîne de livraison plus grande contre une cible plus précieuse et mieux protégée.
Pour des exemples d'attaques réussies, voir
- Mon attaque par échange de carte SIM: comment j'ai presque perdu 71 000 $ et comment l'empêcher
- Voici comment j'ai survécu à une attaque par échange de carte SIM après que T-Mobile m'a échoué - deux fois
- Histoire d'horreur de l'échange de cartes SIM: j'ai perdu des décennies de données et Google ne lèvera pas le petit doigt
Comme beaucoup de choses, il y a un tout petit peu de vérité là-dedans, mais dans l'ensemble, ce n'est pas un problème dans la pratique et les incidents sont signalés/perçus totalement hors de perspective.
La plupart des choses, y compris chaque nouveau système qui arrive tous les quelques mois et qui rend complètement obsolètes tout le reste, est généralement basée sur les intérêts financiers personnels, le dogme, la croyance et l'huile de serpent. Ainsi, récemment, SMS-TAN était obsolète. Et le monde ne s'est pas arrêté.
Comment oserais-je dire que ce n'est pas un problème? Il y a des failles de sécurité très réelles!
Tout d'abord, c'est deux facteur d'authentification. Ce qui signifie que tout montant de TAN envoyé dans le SMS n'a aucune valeur si la marque n'a pas déjà donné son mot de passe ou autre (ce qui est généralement le premier facteur).
Sans fournir le premier facteur, vous ne pouvez même pas déclencher le SMS à envoyer. Si le propriétaire du compte légitime l'a déclenché, alors il est actuellement en train de se connecter dans, c'est-à-dire qu'il a une connexion TLS en cours. Le TAN ne fonctionnera pour rien sauf pour l'action pour laquelle il a été déclenché, donc ce n'est pas vraiment utile pour beaucoup.
Vous écoutez mes SMS? Allez-y. Qu'est ce que tu vas faire? À moins que vous aussi ayez un pistolet afin que vous puissiez me forcer à m'éloigner du clavier, o vous pouvez usurper mon adresse IP et ont tellement détourné TLS que vous pouvez réussir à prendre le relais (vraiment, WTF? contre qui nous défendons-nous dans ce modèle de menace?), vous ne pouvez pas faire grand-chose. Je veux dire, il y a des choses raisonnables à attendre et des choses déraisonnables. Dois-je me défendre contre la possibilité qu'un gros météore de 2 km frappe ma maison? Si quelqu'un peut prendre le contrôle de ma connexion TLS, j'ai des problèmes plus sérieux que SMS étant interceptable.
À moins bien sûr que ce soit vous qui ayez initié le SMS-TAN en premier lieu, ce qui signifie que vous devez déjà connaître mon mot de passe.
Donc, un administrateur système reddit a donné son mot de passe administrateur ou avait un mot de passe si pathétique qu'il était facile pour l'ingénieur social. Ou quelque chose d'autre qui est carrément effrayant face à Palm, peu importe. A emmené une fille qu'il a rencontrée dans le bar la veille sur son lieu de travail pour l'impressionner, s'est connectée et s'est éloignée? Quelque chose de semblable?
Wow, clairement le fait que SMS peut être intercepté était le problème!
SMS 2FA est le même que tous les autres 2FA. C'est un petit obstacle supplémentaire qu'un attaquant doit franchir, une fois qu'il a le premier facteur. Ce n'est pas beaucoup, mais c'est mieux que rien. Pour l'attaquant occasionnel sur une cible aléatoire, ce petit plus fait la différence entre "faisable" et "non faisable". Par exemple, vous pouvez connaître mon mot de passe Google par hasard, mais vous ne connaissez pas mon numéro de téléphone (ni même où j'habite). Donc, mis à part les difficultés techniques, comment allez-vous intercepter mon SMS du tout?
2FA arrêtera-t-il une attaque ciblée par un attaquant déterminé? Eh bien non, ce ne sera probablement pas le cas. Mais qu'est-ce qui le fera? Je peux toujours attacher votre petite amie à une chaise et vous faire me regarder couper les doigts jusqu'à ce que vous effectuiez l'authentification. Faites-en une authentification à cinq facteurs si vous le souhaitez, cela ne prendra pas plus de deux ou trois doigts.
Étant donné que SMS-TAN n'est pas sécurisé, ma banque a remplacé TAN via SMS avec une paire d'applications personnalisées totalement non sécurisées qui permettront d'initier une transaction, et confirmé, sans jamais entrer de mot de passe ou autre. L'API de biométrie d'Android lui dit "oui, OK" suffit. Il a été démontré que la reconnaissance faciale est facile à tromper.
Alors oui, c'est définitivement tellement mieux et plus sûr que d'avoir à entrer un mot de passe sur TLS (qui est stocké dans Keepass) et de recevoir un TAN par SMS, ce qui ne vaut rien pour personne d'autre.
La simple vérité est que l'envoi de SMS-TAN coûte de l'argent, et cette stupide petite application ne fait pas ...
"Dois-je m'inquiéter?" n'est pas une question technique - vous pouvez vous soucier de tout ce que vous voulez. À des fins de sécurité de l'information, il est plus utile de considérer des menaces spécifiques, en équilibrant leur probabilité et leur risque par rapport aux coûts et aux inconvénients.
Une autre question que vous pourriez vous poser est de savoir si SMS 2FA est une atténuation suffisante contre les équipes criminelles travaillant à la collecte massive d'informations d'identification (et, par exemple, en les publiant en vente sur le dark net). La réponse à c'est-- ouais, c'est plutôt bien. Même s'ils étaient en mesure d'obtenir un code 2FA SMS, il n'aurait pas de valeur de revente car il n'est bon que pendant quelques minutes. Donc dans en termes de réseaux criminels revendant des informations d'identification, c'est une atténuation décente. C'est une sorte de menace.
Un autre type de menace est une équipe criminelle ou un utilisateur malveillant qui vous cible en tant qu'individu et en temps réel. Dans ce scénario, SMS est complètement inadéquat, pour des raisons que je pense que vous comprenez déjà. Il est beaucoup trop facile d'obtenir ce code s'ils ont les ressources nécessaires.
Cela étant dit, NIST , FFIEC , PCI , ISO-27001 , et d'autres formes de réglementation/conformité/orientation en matière de sécurité s'éloignent toutes de SMS 2FA en faveur d'autres options qui deviennent plus disponibles à mesure que la technologie évolue. Mais le public prendra du temps pour rattraper son retard. Heck, 90% des utilisateurs de gmail n'en utilisent aucune 2FA, et encore moins un jeton securID! C'est pourquoi L'authentification SMS à deux facteurs n'est pas parfaite, mais vous devez toujours l'utiliser. .
Bien que SMS 2FA ne soit pas aussi puissant que le MFA de base TOTP ou l'utilisation d'une clé de sécurité matérielle (par exemple yubikey), il offre toujours une protection importante contre l'attaquant typique qui essaie simplement d'utiliser de mots de passe faibles ou compromis.
Le problème que je vois avec cette déclaration est que ces deux attaques me semblent comme étant essentiellement réalisables uniquement pour les attaques ciblant un utilisateur spécifique dans le but de violer un service ciblé.
[...]
Vous ne pouvez pas effectuer d'attaques d'échange de cartes SIM de manière automatisée ou même à grande échelle (sauf en cas de problème grave avec un fournisseur de téléphone).
[...]
Le cybercriminel moyen n'a pas les ressources nécessaires pour intercepter MitM SMS messages pour les personnes réparties dans une ville, un pays ou un continent.
Vous n'avez pas toujours besoin d'un échange de carte SIM ou MitM. Certaines attaques simples comme le phishing sont déjà automatisées et cela s'applique également aux codes 2FA .
Maintenant, ce type d'attaque contournerait également d'autres types de mots de passe à usage unique comme les applications d'authentification de smartphone, et peut-être même des invites de connexion. Ils seraient arrêtés par 2FA à base de jetons comme Yubikeys, car le navigateur vérifierait que le domaine est correct.
En outre, je suppose qu'il ne serait pas impossible pour quelqu'un de pirater un réseau téléphonique et d'exécuter une attaque non ciblée tout en interceptant les SMS 2FA pendant un certain temps jusqu'à ce qu'il se fasse prendre.