Reddit.com a révélé aujourd’hui qu’une violation de données a exposé certaines données internes, ainsi que les adresses e-mail et les mots de passe de certains utilisateurs de Reddit. En ce qui concerne les violations de sites Web, celle-ci ne semble pas trop grave. Ce qui est intéressant à propos de l’incident, c’est qu’il montre une fois de plus pourquoi s’appuyer sur les messages texte mobiles (SMS) pour l’authentification à deux facteurs (2FA) peut endormir les entreprises et les utilisateurs finaux dans un faux sentiment de sécurité.
Dans une publication sur Reddit, la plate-forme d’agrégation de nouvelles sociales a déclaré avoir appris le 19 juin qu’entre le 14 et le 18 juin, un attaquant avait compromis plusieurs comptes d’employés chez ses fournisseurs d’hébergement cloud et de code source.
Reddit a déclaré que les données exposées comprenaient le code source interne ainsi que les adresses e-mail et les mots de passe masqués pour tous les utilisateurs de Reddit qui avaient enregistré des comptes sur le site avant mai 2007. L’incident a également révélé les adresses e-mail de certains utilisateurs qui s’étaient inscrits pour recevoir des e-mails quotidiens. résumés de fils de discussion spécifiques.
Il convient de noter en particulier que bien que les comptes des employés de Reddit liés à la violation aient été protégés par une authentification à deux facteurs basée sur SMS, le ou les intrus ont réussi à intercepter ce deuxième facteur.
« Ayant déjà nos principaux points d’accès pour le code et l’infrastructure derrière une authentification forte nécessitant une authentification à deux facteurs (2FA), nous avons appris que l’authentification par SMS n’est pas aussi sécurisée que nous l’espérions, et l’attaque principale était via l’interception de SMS », Reddit divulgué. « Nous le soulignons pour encourager tout le monde ici à passer à 2FA basé sur des jetons. »
Reddit n’a pas précisé comment le code SMS avait été volé, bien qu’il ait précisé que les intrus n’avaient pas directement piraté les téléphones des employés de Reddit. Néanmoins, il existe une variété de moyens bien établis permettant aux attaquants d’intercepter les codes à usage unique envoyés par SMS.
Dans un scénario courant, connu sous le nom d’échange de carte SIM, l’attaquant se faisant passer pour la cible trompe le fournisseur de téléphonie mobile de la cible en liant le service du client à une nouvelle carte SIM contrôlée par les pirates. Une carte SIM est la minuscule puce amovible d’un appareil mobile qui lui permet de se connecter au réseau du fournisseur. Les clients peuvent demander un échange de carte SIM lorsque leur carte SIM existante a été endommagée ou lorsqu’ils passent à un autre téléphone nécessitant une carte SIM d’une autre taille.
Un autre schéma typique implique des escroqueries de transfert de numéro de mobile, dans lesquelles l’attaquant se fait passer pour un client et demande que le numéro de mobile du client soit transféré vers un autre fournisseur de réseau mobile. Dans les schémas de port-out et d’échange de carte SIM, le service téléphonique de la victime est coupé et tous les codes à usage unique délivrés par SMS (ou appel téléphonique automatisé) sont envoyés à un appareil contrôlé par les attaquants.
AUTHENTIFICATION BASÉE SUR L’APPLICATION
Une alternative plus sécurisée aux SMS implique l’utilisation d’une application mobile, telle que Authentificateur Google ou Authy — pour générer le code à usage unique qui doit être saisi en plus d’un mot de passe. Cette méthode est aussi parfois appelée « mot de passe à usage unique basé sur le temps » ou TOTP. C’est plus sûr que les SMS simplement parce que l’attaquant dans ce cas aurait besoin de voler votre appareil mobile ou de l’infecter d’une manière ou d’une autre avec des logiciels malveillants afin d’accéder à ce code à usage unique. Plus important encore, le double facteur basé sur l’application supprime entièrement votre opérateur de téléphonie mobile du processus de connexion.
Fondamentalement, l’authentification à deux facteurs consiste à combiner quelque chose que vous connaissez (le mot de passe) avec quelque chose que vous avez (un appareil) ou quelque chose que vous êtes (un composant biométrique, par exemple). L’idée de base derrière 2FA est que même si les voleurs parviennent à hameçonner ou à voler votre mot de passe, ils ne peuvent toujours pas se connecter à votre compte à moins qu’ils ne piratent ou ne possèdent également ce deuxième facteur.
Techniquement, 2FA via des applications mobiles et d’autres méthodes basées sur TOTP sont plus précisément décrites comme une « authentification en deux étapes » car le deuxième facteur est fourni via la même méthode que le premier facteur. Par exemple, même si le deuxième facteur peut être généré par une application mobile, ce code à usage unique doit être saisi dans la même page de connexion sur un site Web avec le mot de passe de l’utilisateur, c’est-à-dire à la fois le mot de passe et le code à usage unique. le code peut toujours être subverti par des attaques de phishing, de type man-in-the-middle et de relecture d’informations d’identification.
CLÉS DE SÉCURITÉ
Probablement le le plus sûr La forme de 2FA disponible implique l’utilisation de clés de sécurité matérielles. Ces périphériques USB peu coûteux permettent aux utilisateurs de terminer le processus de connexion simplement en insérant le périphérique et en appuyant sur un bouton. Une fois qu’une clé est inscrite pour 2FA sur un site particulier qui prend en charge les clés, l’utilisateur n’a plus besoin de saisir son mot de passe (sauf s’il essaie de se connecter à partir d’un nouvel appareil). La clé fonctionne sans avoir besoin de pilotes logiciels spéciaux et l’utilisateur n’a jamais accès au code – il ne peut donc pas le donner ou le divulguer à un attaquant.
Le seul facteur limitant avec les clés de sécurité est que relativement peu de sites Web permettent actuellement aux utilisateurs de les utiliser. Certains des sites les plus populaires qui acceptent les clés de sécurité incluent Boîte de dépôt, Facebook et GithubGenericNameainsi que les différents services de Google.
La semaine dernière, BreachTrace a signalé que Google exige désormais que tous ses 85 000 employés utilisent des clés de sécurité pour 2FA, et qu’il n’a eu aucun rapport confirmé de prise de contrôle de compte d’employé depuis que l’entreprise a commencé à les exiger au début de 2017.
Le fabricant de clés de sécurité le plus populaire — Yubico – vend le modèle de base pour 20 $, avec des versions plus chères conçues pour fonctionner avec des appareils mobiles. Les clés sont disponibles directement auprès de Yubico ou via Amazon.com. Yubico comprend également une liste courante de sites qui prennent actuellement en charge les clés d’authentification.
Si vous souhaitez migrer vers des clés de sécurité pour l’authentification, il est judicieux d’acheter au moins deux de ces appareils. Pratiquement tous les sites que j’ai vus qui autorisent l’authentification via des clés de sécurité permettent aux utilisateurs d’inscrire plusieurs clés pour l’authentification, au cas où l’une des clés serait perdue ou égarée.
J’encourage tous les lecteurs à visiter 2fa.répertoire, et pour profiter pleinement de l’option 2FA la plus sécurisée disponible pour tous les sites que vous fréquentez. Malheureusement, de nombreux sites ne prennent en charge aucun type d’authentification à 2 facteurs, sans parler des méthodes qui vont au-delà des SMS ou d’un code à usage unique qui vous est lu via un appel téléphonique automatisé. En outre, certains sites qui prennent en charge une authentification à deux facteurs plus robuste, basée sur une application ou une clé, permettent toujours aux clients de recevoir des codes par SMS comme méthode de secours.
Si les seules options 2FA proposées par un site que vous fréquentez sont les SMS et/ou les appels téléphoniques, c’est toujours mieux que de simplement compter sur un mot de passe. Mais il est grand temps que les sites Web populaires de tous bords commencent à offrir à leurs utilisateurs des options d’authentification plus robustes comme le TOTP et les clés de sécurité. De nombreuses entreprises peuvent être poussées dans cette direction si suffisamment d’utilisateurs commencent à l’exiger, alors pensez à utiliser toute présence et influence que vous pourriez avoir sur les plateformes de médias sociaux pour faire entendre votre voix sur cette question importante.