“Sound-Proof” ! C’est la nouvelle innovation de chercheurs suisses en termes d’authentification forte (2FA). Cette nouvelle technique ne nécessite aucune interaction supplémentaire de l’utilisateur tout en assurant un second facteur d’authentification.
Un groupe de chercheurs du Swiss Federal Intitute of Technology de Zurich (Srdjan Capkun, Nikolaos Karapanos, Claudio Marforio et Claudio Soriente) a très récemment présenté à la conférence de sécurité USENIX leur nouvelle solution 2FA qui se fonde sur les sons ambiants.
Cette solution opère comme suit : lorsqu’une ressource sur un poste est protégée par l’authentification forte “Sound-Proof”, le micro du poste s’active automatiquement pour détecter les sons ambiants. En parallèle, une notification est envoyée sur le smartphone de l’individu identifié, qui de son côté (doté de l’application “Sound-Proof”), active également son micro pour comparer les sons ambiants.
S’il y a concordance entre les signatures audio enregistrées sur le poste et celles de l’équipement mobile (smartphone) de l’usager, alors l’authentification est réalisée avec succès. Si les signatures ne correspondent pas, l’authentification bascule vers une 2FA ou 2SV classique / de secours.
Les chercheurs ont développé une application sur la base d’HTML 5 pour Android, iOS et l’ensemble des principaux navigateurs du marché compatible HTML5 et WebRTC API (Chrome, Firefox et Opera pour le moment ; Internet Explorer très prochainement).
Pour confirmer à l’utilisateur que l’authentification s’est correctement déroulée de manière transparente, ils proposent de faire vibrer le téléphone. Ainsi, un usager qui verrait son téléphone vibrer par “Sound-Proof” sans avoir réaliser d’authentification serait alerté d’un potentiel vol d’identité.
“Since audio recording and comparison is transparent to the user, he has no means to detect an ongoing attack. To mitigate this, at each login attempt the phone may vibrate, light up, or display a message to notify the user that a login attempt is taking place.”
D’après les chercheurs, “Sound-Proof” permet d’économiser près de 25 secondes sur les phases d’authentification par rapport aux solutions de 2FA classiques via OTP.
Une vidéo de démonstration de la solution est disponible sur le site officiel de l’outil.
En réalité, “Sound-Proof” n’est pas seulement une nouvelle méthode d’authentification double-facteur (2FA) mais on peut la considérer comme du triple-facteur : en effet, il est nécessaire de disposer d’un équipement portatif (“ce que l’on a”) et que celui-ci soit situé dans la même pièce / ambiance sonore que le porteur (“où l’on est” / “ce que l’on entend”), se rapprochant ainsi d’un aspect “biométrique” du porteur.
Difficile pour quelqu’un de malintentionné d’usurper l’identité d’un usager équipé de “Sound-Proof”. Il faudrait par exemple que par chance, l’assaillant soit sur la même chaîne télévisée que la victime, au même instant.
Sources & ressources :
- Sound-Proof official website
- Sound-Proof: Usable Two-Factor Authentication Based on Ambient Sound – Paper
- USENIX Security conference
- Sound-Proof vidéo de démonstration
- Using ambient sound as a two-factor authentication system – NakedSecurity
- Sound-Proof: Two-factor authentication without user interaction – Net Security
Yann
Consultant Sécurité
[:]