histats

La plupart des applications d’authentification mobile ont un défaut de conception piratable

La plupart des applications d’authentification mobile ont un défaut de conception piratable

SINGAPOUR – (FIL D’AFFAIRES) –La numérisation stimule la demande d’identités numériques fortes. Une enquête récente de McKinsey1 rapporte que la crise du Covid-19 a considérablement accéléré le rythme de la numérisation dans le monde. La plupart des répondants ont révélé qu’au moins 80 % de leurs interactions avec les utilisateurs ou les clients étaient désormais de nature numérique, contre seulement 58 % juste avant la pandémie. Malheureusement, cela a également entraîné un nombre croissant de cyberattaques dans tous les types d’organisations, principalement sous la forme d’attaques de ransomwares et de détournements de comptes en ligne et financiers.

Cela a à son tour poussé la croissance du marché de l’authentification multifacteur qui a été évalué par ResearchAndMarkets.com à 10,64 milliards de dollars d’ici 2020 (et devrait atteindre 28,34 milliards de dollars d’ici 20262). Pour les services bancaires, financiers ou les applications e-gouvernement, cela signifie utiliser une sorte de 2FA (authentification à deux facteurs). En règle générale, cela signifie un OTP basé sur SMS (mot de passe à usage unique) ou un code généré par le jeton matériel ou une application d’authentification mobile.

Malheureusement, les SMS OTP se sont avérés peu sûrs, être vulnérable aux écoutes clandestines et aux attaques de phishing. Les jetons matériels sont coûteux à distribuer, peu conviviaux et nécessitent un remplacement régulier. Les authentifications mobiles sont considérées comme l’option la plus sûre et la plus pratique, beaucoup conservant les clés cryptographiques utilisées pour générer des codes OTP protégés par du matériel spécialisé intégré aux téléphones (appelé Trusted Execution Environment ou TEE).

Cependant, “le plus sûr” ne signifie pas nécessairement “parfait”, et de nouvelles recherches sur un défaut de conception précédemment négligé le renforcent trop bien.

Plus inquiétant encore, si l’outil d’authentification lui-même n’est pas fiable, il ouvre le service numérique à la manipulation de logiciels malveillants ou vice versa construit par de mauvais acteurs, ce qui pourrait potentiellement conduire à un détournement de compte, à une fuite de données, à une fraude ou pire.

Basée à Singapour, V-Key, une société de sécurité numérique basée sur des logiciels qui a développé le premier Virtual Secure Element au monde, a récemment publié un livre blanc démontrant comment La plupart des applications d’authentification mobile peuvent en fait être interrompues par des logiciels malveillants. Ceci est indépendant de la protection matérielle offerte par un téléphone.

La plupart des applications d’authentification utilisent des clés cryptographiques pour générer les codes utilisés pour l’identification de l’utilisateur. Ces applications peuvent être comparées à un coffre au trésor que seules ces clés peuvent ouvrir. Si ces clés sont volées, le “vol” d’un pirate est la capacité d’authentifier des transactions ou de signer des documents au nom d’un utilisateur. C’est pourquoi la plupart des applications d’authentification essaient d’utiliser le stockage le plus sécurisé disponible pour ces clés.

Pour de nombreux développeurs, cela signifie un environnement d’exécution sécurisé pour téléphone mobile. Sur les téléphones Android, cela s’appelle le StrongBox Keystore. Chez Apple, il s’agit d’iOS Secure Enclave (qui a un logiciel compagnon appelé Keychain qui stocke les données cryptées sous forme de mots de passe).

“Malheureusement, il y a un défaut général dans leur conception architecturale que les pirates peuvent exploiter”, a déclaré Er Chiang Kai, CTO de V-Key. “Nous avons découvert que des logiciels malveillants peuvent être utilisés pour accéder aux clés d’authentification d’une cible afin que le pirate puisse effectuer des transactions non autorisées ou signer de faux documents. Cela est particulièrement vrai pour les téléphones jailbreakés, les appareils enracinés ou les modèles qui sont exposés à ce que l’on appelle un “vulnérabilité d’escalade de privilèges” Nous appelons cette erreur de conception “Trust Gap”.

Comment ça marche exactement? Imaginez quelqu’un utilisant une application d’authentification mobile pour générer des OTP pour 2FA ou signer des documents numériques. Un jour, ils voient un jeu mobile intéressant ou une application de conseil en crypto-monnaie. Ils décident de le télécharger, de l’installer et de l’essayer.

Ce que l’utilisateur ne sait pas, c’est que ce jeu ou cette application de conseil en cryptographie est en fait un logiciel malveillant qui exploite une vulnérabilité de mise à l’échelle de la sécurité ciblée sur son application d’authentification mobile. L’« élévation de privilèges » consiste à exploiter un bogue, un défaut de conception ou une vulnérabilité de configuration dans un système d’exploitation ou un logiciel pour accéder à des ressources (telles que des clés) qui sont normalement protégées des autres applications ou utilisateurs. Le résultat est que le logiciel malveillant obtient plus de privilèges que prévu – et obtient donc l’accès à des données confidentielles, ainsi que la possibilité d’effectuer des actions non autorisées.

Normalement, les gens ne pensent même pas à la possibilité que quelqu’un pirate leur authentification, car ils sont sûrs de pouvoir compter sur la capacité d’Android Keystore ou d’iOS Secure Enclave pour protéger les clés cryptographiques. Mais lorsqu’il joue à son nouveau jeu ou calcule le profit sur son dernier pari crypto, un mauvais acteur peut déjà lui voler ses clés, ou plus précisément, sa clé d’authentification dite “OTP seed”.

Une graine OTP est la sauce secrète de nombreux jetons OTP. Cette ressource cryptographique (avec un compteur ou une heure) est introduite dans l’algorithme OTP du dispositif d’authentification pour produire un code OTP. En utilisant cette graine OTP, le pirate peut désormais générer des OTP identiques à ceux générés par l’authentification cible. En d’autres termes, le pirate possède désormais virtuellement l’identité numérique d’un utilisateur.

Il s’agit d’une attaque insidieuse et sophistiquée qui l’application d’authentification ciblée n’a même pas besoin d’être exécutée ou falsifiée pour être compromise. Interrogés sur ce problème de sécurité, Google et Apple ont répondu qu’ils n’étaient finalement pas responsables de ce que les utilisateurs font sur ou sur leurs téléphones. Apple en particulier a noté que ce problème concernait principalement les iPhones jailbreakés, qui, pour eux, dépassaient le cadre de l’utilisation autorisée. Cette position est essentiellement similaire à celle adoptée par les fabricants d’armes face aux décès liés aux armes.

Le scénario ci-dessus se concentre sur les semences OTP. Certaines authentifications reposent sur d’autres types d’actifs cryptographiques, tels que les clés d’infrastructure à clé publique (PKI). Malheureusement, ceux-ci peuvent également être clonés ou volés de manière similaire. Le livre blanc V-Keys fournit plus de détails sur la façon dont les pirates peuvent le faire.

Dans la hâte de grandir et d’acquérir autant de clients que possible, Les développeurs d’applications d’entreprise et d’administration en ligne ont effectivement ignoré cette faille de sécurité majeure à cause d’une confiance mal placée. Mais si les OTP SMS et même les applications d’authentification mobile peuvent être compromis, et que les couches de l’appareil et du système d’exploitation peuvent être de peu d’aide, où cela laisse-t-il l’utilisateur moyen ? Quelle est la meilleure façon de combler ce fossé de confiance ?

Selon V-Keys Er, En fin de compte, la meilleure solution consiste à fournir un moyen d’identifier chaque point de terminaison dans le système – qu’il s’agisse d’applications, de serveurs ou même d’appareils IoT individuels. Un élément sécurisé associé à chaque application, comme la solution V-Keys App Identity, peut servir de preuve de l’identité et de l’intégrité d’une application sans nécessiter d’authentifications externes et sans compromettre l’expérience utilisateur.

Alors que le monde numérique se développe à un rythme de plus en plus rapide, cette capacité à permettre l’identité et la confiance devient essentielle. Après tout, il suffit d’une seule application d’authentification mobile compromise pour infiltrer un service numérique d’entreprise ou gouvernemental et éventuellement détruire tout un système. Des pertes qui ne se limitent pas seulement aux amendes financières et aux responsabilités civiles, mais aussi aux atteintes à la marque et à la réputation, dont il est parfois impossible de se remettre.

À propos de la clé V

V-Key est une société de sécurité numérique basée sur des logiciels dont la technologie pilote des solutions de sécurité ultra-élevées pour la gestion de l’identité numérique, l’authentification et l’autorisation des utilisateurs. Des clients et des partenaires tels que DBS, OCBC, UOB, entre autres, lui font confiance pour fournir des services d’identité numérique universels simples et sécurisés qui connectent les personnes, les organisations et les entités partout.

Le V-OS breveté à l’échelle internationale de V-Key est le premier élément sécurisé virtuel au monde dont les protections cryptographiques et de cybersécurité avancées sont conformes aux normes mondiales (classement EAL 3+ et FIPS 140-2) auparavant réservées uniquement aux solutions matérielles coûteuses.

1

2

See also  10 ways doorbell cameras pose a threat to privacy and security

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *