Les OTP par SMS ? Plus pour les banques européennes…
Nous vous en parlions il y a quelques temps, Le NIST (National Institute of Standards and Technology) est un des acteurs majeurs américains pour le développement des standards technologiques liés à l’industrie et en ce sens, ils ont dénoncé que l’authentification-forte (strong-authentification / 2FA) via des SMS sur mobile/smartphone est à présent dépréciée.
Ainsi, les OTP par SMS ne sont plus jugés fiables (notamment avec des attaques reconnues telles que SS7), et c’est à présent en Europe que ce mécanisme d’authentification ne répondra bientôt plus aux exigences.
Les banques sont un des principaux acteurs à employer massivement ce procédé, notamment au travers de tous les achats effectués en ligne. Nous avons tous, un jour ou l’autre, dû recopier un code à 6 ou 8 chiffres reçu par SMS pour que notre paiement Amazon, de billet de train ou autre se fasse. Ce mécanisme est un méthode d’authentification forte, validant votre identité (vous êtes le propriétaire de votre téléphone) dans un laps de temps précis (le code expire au bout de quelques minutes).
Seulement, depuis que le vecteur de transmission “par SMS” n’est plus jugé sûr, ceux qui l’avaient implémenté vont devoir s’en défaire, et les banques ont du pain sur la planche pour migrer / changer les habitudes de leurs clients.
En France, plus de 40% des paiements en lignes font l’objet d’une authentification renforcée selon la Banque de France. 85% de ces authentifications fortes sont faites au travers d’un SMS et OTP d’après le Groupement des Cartes Bancaires CB.
Depuis septembre 2018, il convient donc d’entamer les travaux pour migrer vers d’autres mécanismes d’authentification forte plus robuste. Seulement la phase de migration risque de prendre des mois voire des années, et inquiète les banques…
D’après Loÿs Moulin, directeur du développement chez Cartes Bancaires CB :
Il n’est pas pensable d’imaginer qu’en un an, on va à la fois généraliser de nouvelles méthodes d’authentification forte et former tous les consommateurs à les utiliser en lieu et place du mot de passe à usage unique par SMS […] Il faut qu’il y ait un délai de migration qui soit donné. […] ce n’est pas une question de mois mais d’années.
Au niveau européen, il est nécessaire de changer ce procédé d’après un courrier daté de la fin octobre. Des fédérations européennes de commerçants demandent à ce que 3 ans soient donnés aux acteurs bancaires pour mettre en place des dispositifs anti-fraude alternatifs.
Mais quelles solutions d’authentification forte pourrait répondre à ces nouvelles exigences ? Biométrie ? Application-OTP dédiée ? Plusieurs banques les proposent dès à présent sans pour autant les imposer ni forcer la migration de ceux utilisant encore le SMS.
Bien évidemment, considérer les SMS comme étant dépréciés pour la 2FA est sujet à de grands débats, dont les arguments peuvent se résumer à :
-
L’authentification-forte via SMS :
- Pour : Pas besoin de télécharger une application tierce, et si quelqu’un tente de s’authentifier sur votre compte, le SMS de l’OTP vous sert d’alerte.
- Contre : Il est possible d’hijack les SMS (SS7), et le NIST a statué que c’est déprécié. On peut ajouter qu’il est indispensable (et contraignant) d’avoir une couverture réseau pour recevoir l’OTP.
-
L’authentification-forte via des applications sur smartphone :
- Pour : Les OTP générés dépendent de l’application installée sur le smartphone et n’ont pas de lien avec la carte SIM ou le numéro. De plus ces applications fonctionnent sans couverture réseau !
- Contre : Les OTP par applications sur smartphone sont basés sur la synchronisation temporelle de l’appareil et d’une clé partagée. Si cette clé est compromise, un attaquant peut cloner l’application d’authentification avec vos paramétrages. Les OTP par SMS sont purement aléatoires, ils ne sont pas « prédictibles » en fonction du temps et d’un shared-secret. Finalement, utiliser une application 2FA sur smartphone pour s’authentifier sur le smartphone lui-même centralise la faiblesse sur le même équipement.
Attendez-vous a observer des évolutions dans le secteur bancaire et les paiements en ligne en conséquence durant les prochains mois.
Sources & ressources :
- Les banques bientôt privées de SMS pour sécuriser les paiements en ligne – LesEchos.fr
- Banques : vers la fin des SMS pour valider un paiement – LeParisien
- Banque. Les codes de validation par SMS pour les achats en ligne vont disparaître – OuestFrance
- Le SMS d’authentification des achats en ligne devrait disparaître – LeFigaro
- NIST blog clarifies SMS deprecation in wake of media tailspin – Zdnet
- NIST recommends SMS two-factor authentification deprecation – Threadpost
- The pros and cons of SMS-based codes – NakedSecurity
- DRAFT NIST Special Publication 800-63B Digital Authentication Guideline – NIST
- End of SMS-based 2-Factor Authentication; Yes, It’s Insecure! – TheHackerNews
- NIST Prepares to Ban SMS-Based Two-Factor Authentication – Softpedia