histats

La plupart des applications d’authentification mobile ont un défaut de conception qui peut être piraté

La plupart des applications d’authentification mobile ont un défaut de conception qui peut être piraté

SINGAPOUR–(FIL D’AFFAIRES)–La numérisation stimule la demande d’identités numériques fortes. Une enquête récente de McKinsey1 rapporte que la crise du Covid-19 avait fortement accéléré le rythme de la numérisation dans le monde. La plupart des répondants ont révélé qu’au moins 80 % de leurs interactions avec les utilisateurs ou les clients étaient désormais de nature numérique, contre seulement 58 % juste avant la pandémie. Malheureusement, cela a également entraîné un nombre croissant de cyberattaques dans tous les types d’organisations, principalement sous la forme d’attaques de rançon et de détournement de comptes en ligne et financiers.

Cela a à son tour poussé la croissance du marché de l’authentification multifacteur qui a été évalué par ResearchAndMarkets.com à 10,64 milliards USD en 2020 (et devrait atteindre 28,34 milliards USD d’ici 20262). Pour les services bancaires, les services financiers ou les applications e-gouvernement, cela signifie adopter une sorte de 2FA (authentification à deux facteurs). En règle générale, cela signifierait un OTP (mot de passe à usage unique) basé sur SMS ou un code généré par le jeton matériel ou une application d’authentification mobile.

Malheureusement, les SMS OTP se sont avérés peu sûrs, être vulnérable aux écoutes clandestines et aux attaques de phishing. Les jetons matériels sont coûteux à distribuer, peu conviviaux et nécessitent un remplacement régulier. Les authentifications mobiles sont considérées comme l’option la plus sûre et la plus pratique, beaucoup conservant les clés cryptographiques utilisées pour générer des codes OTP protégés par du matériel spécialisé intégré aux téléphones (appelé Trusted Execution Environment ou TEE).

Cependant, « le plus sûr » ne signifie pas nécessairement « parfait », et de nouvelles recherches sur un défaut de conception précédemment négligé le renforcent trop bien.

Plus inquiétant encore, si l’outil d’authentification lui-même n’est pas fiable, il expose le service numérique à la manipulation par des logiciels malveillants ou vice-versa conçus par de mauvais acteurs, pouvant entraîner des prises de contrôle de compte, des fuites de données, des fraudes ou pire.

Basée à Singapour, V-Key, une société de sécurité numérique basée sur des logiciels qui a développé le premier Virtual Secure Element au monde, a récemment publié un livre blanc démontrant comment la plupart des applications d’authentification mobiles peuvent en fait être brisées par des logiciels malveillants. Ceci est indépendant de la protection matérielle offerte par un téléphone.

La plupart des applications d’authentification utilisent des clés cryptographiques pour générer les codes utilisés pour l’identification de l’utilisateur. Ces applications peuvent être comparées à un coffre au trésor que seules ces clés peuvent ouvrir. Si ces clés sont volées, le “butin” d’un pirate est la capacité d’authentifier des transactions ou de signer des documents au nom d’un utilisateur. C’est pourquoi la plupart des applications d’authentification essaient d’utiliser le stockage le plus sécurisé disponible pour ces clés.

Pour de nombreux développeurs, cela signifie l’environnement d’exécution sécurisé d’un téléphone mobile. Sur les téléphones Android, cela s’appelle StrongBox Keystore. Chez Apple, il s’agit de l’iOS Secure Enclave (qui a un logiciel compagnon appelé Keychain qui stocke des données cryptées telles que des mots de passe).

“Malheureusement, il existe un défaut général dans leur conception architecturale que les pirates peuvent exploiter”, déclare Er Chiang Kai, CTO de V-Key. “Nous avons découvert que des logiciels malveillants peuvent être utilisés pour accéder aux clés d’authentification d’une cible, permettant au pirate d’effectuer des transactions non autorisées ou de signer de faux documents. Cela est particulièrement vrai pour les téléphones jailbreakés, les appareils enracinés ou les modèles vulnérables à ce que l’on appelle un “vulnérabilité d’escalade de privilèges”. Nous appelons ce défaut de conception le “Trust Gap”.

Comment ça marche exactement? Imaginez quelqu’un utilisant une application d’authentification mobile pour générer des OTP pour 2FA ou signer des documents numériques. Un jour, ils voient un jeu mobile intéressant ou une application de conseil en crypto-monnaie. Ils décident de le télécharger, de l’installer et de l’essayer.

Ce que l’utilisateur ne sait pas, c’est que cette application de conseils de jeu ou de cryptographie est en fait un logiciel malveillant qui exploite une vulnérabilité d’escalade de privilèges qui cible son application d’authentification mobile. L'”escalade de privilèges” consiste à exploiter un bogue, un défaut de conception ou une erreur de configuration dans un système d’exploitation ou un logiciel pour accéder à des ressources (telles que des clés) qui sont normalement protégées des autres applications ou utilisateurs. Le résultat est que le logiciel malveillant obtient plus de privilèges que prévu – et accède donc à des données confidentielles, ainsi que la capacité d’effectuer des actions non autorisées.

Habituellement, les gens ne pensent pas à la possibilité que quelqu’un pirate leur authentification, car ils sont convaincus qu’ils peuvent faire confiance à la capacité d’Android Keystore ou d’iOS Secure Enclave pour protéger les clés cryptographiques. Mais lorsqu’il joue à son nouveau jeu ou calcule le gain sur son dernier pari crypto, un mauvais acteur peut déjà voler ses clés, ou plus précisément, sa clé d’authentification dite “OTP seed”.

Une graine OTP est la sauce secrète de nombreux jetons OTP. Cette ressource cryptographique (avec un compteur ou une heure) est introduite dans l’algorithme OTP de l’authentificateur pour produire un code OTP. Grâce à cette graine OTP, le pirate peut désormais générer des OTP identiques à ceux générés par l’authentification de la cible. En d’autres termes, le pirate possède désormais pratiquement l’identité numérique d’un utilisateur.

Il s’agit d’une attaque insidieuse et sophistiquée qui l’application d’authentification ciblée n’a même pas besoin d’être en cours d’exécution ou falsifiée pour être compromise. Interrogés sur ce problème de sécurité, Google et Apple ont répondu qu’ils n’étaient finalement pas responsables de ce que les utilisateurs font sur ou sur leurs téléphones. Apple a notamment noté que ce problème concernait principalement les iPhones jailbreakés, qui pour eux dépassaient le cadre de l’utilisation autorisée. Cette position est essentiellement similaire à celle adoptée par les fabricants d’armes à feu lorsqu’ils traitent des décès liés aux armes à feu.

Le scénario ci-dessus se concentre sur les semences OTP. Certaines authentifications reposent sur d’autres types d’actifs cryptographiques, tels que les clés d’infrastructure à clé publique (PKI). Malheureusement, ceux-ci peuvent également être clonés ou volés de manière similaire. Le livre blanc de V-Key fournit plus de détails sur la façon dont les pirates peuvent le faire.

Dans la hâte de grandir et d’acquérir le plus de clients possible, les développeurs d’applications d’entreprise et d’e-gouvernement ont effectivement ignoré cette faille de sécurité majeure à cause d’une confiance mal placée. Mais si les OTP SMS et même les applications d’authentification mobile peuvent être compromis, et que les couches de l’appareil et du système d’exploitation peuvent être de peu d’aide, où cela laisse-t-il l’utilisateur moyen ? Quelle est la meilleure façon de combler ce fossé de confiance ?

Selon V-Keys Er, en fin de compte, la meilleure solution est de fournir un moyen d’identifier chaque point de terminaison dans le système – qu’il s’agisse d’applications, de serveurs ou même d’appareils IoT individuels. Un élément sécurisé associé à chaque application, comme la solution App Identity de V-Key, peut servir de preuve de l’identité et de l’intégrité d’une application sans avoir besoin d’authentifications externes et sans compromettre l’expérience utilisateur.

Alors que le monde numérique se développe à un rythme de plus en plus rapide, cette capacité à permettre l’identité et la confiance devient essentielle. Après tout, il suffit d’une seule application d’authentification mobile compromise pour infiltrer un service numérique d’entreprise ou gouvernemental et potentiellement faire tomber tout un système. Les pertes ne se limitent pas aux seules amendes financières et responsabilités civiles, mais également aux atteintes à la marque et à la réputation, dont il est parfois impossible de se remettre.

À propos de la clé V

V-Key est une société de sécurité numérique basée sur des logiciels dont la technologie alimente des solutions de sécurité ultra-élevées pour la gestion de l’identité numérique, l’authentification et l’autorisation des utilisateurs. Des clients et des partenaires tels que DBS, OCBC, UOB, entre autres, lui font confiance pour fournir des services d’identité numérique universels simples et sécurisés qui connectent les personnes, les organisations et les appareils partout.

Le V-OS breveté à l’échelle internationale de V-Key est le premier Virtual Secure Element au monde dont les protections cryptographiques et de cybersécurité avancées sont conformes aux normes mondiales (classement EAL 3+ et FIPS 140-2) auparavant réservées uniquement aux solutions matérielles coûteuses.

1

2

See also  Le piratage téléphonique du Premier ministre espagnol aggrave la crise des logiciels espions en Europe - News 24

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *