Unité 2 module 2 du cours SecNum Académie proposé par l'ANSSI.
Comme présenté précédemment, une authentification consiste à prouver son identité. Il existe plusieurs moyens de fournir cette preuve. C'est moyens sont appelés facteurs d'authentification.
Le premier type de facteur d'authentification fait appel à ce que vous connaissez, comme un mot de passe par exemple.
On trouve un autre type de facteur d'authentification lié à un objet que vous possédez, comme une clé, ou un badge.
Enfin le dernier type de facteur d'authentification est directement lié à votre personne comme une empreinte digitale.
Notons que cette catégorisation des facteurs n'est pas exhaustive, d'autres manières d'authentifier les individus peuvent être envisagées : signatures, gestes, localisation, etc.
Le type de facteur d'authentification le plus utilisé aujourd'hui est un facteur de connaissance : il est généralement représenté par un mot de passe. Bien que ce mode d'authentification par identifiant et mot de passe soit le plus répandu, il n'est pas infaillible pour autant.
En effet des individus malveillant peuvent obtenir un accès à votre compte utilisateur et à votre mot de passe par diverses méthodes. Pour cela ces individus peuvent recourir à des attaques directes ou indirectes.
Les attaques dites directes sont celles par lesquelles un individu dit malveillant va s'attaquer de manière très concrète à votre mot de passe ou au système d'authentification en se connectant ensuite grâce aux mêmes moyens que les vôtres. Ce type d'attaque test entre autre l'ensemble des combinaisons possibles de mots de passe en utilisant des mots du dictionnaire ou des combinaisons connues: il s'agit d'attaques par force brute. Elle peut consister également à récupérer directement vôtre mot de passe sur un post-it, carnet, tableau lors d'un rendez-vous. Elle peut encore faire appel à des technologies beaucoup plus évoluées permettant de récupéré un mot de passe directement dans la mémoire de l'ordinateur ou lors de sa frappe sur le clavier. Il n'est donc pas recommandé de sauvegarder les mots de passe lors d'une authentification.
Les attaques indirectes quant à elles, utilisent la ruse pour vous piéger et récupérer vos identifiants et mots de passe. Pour cela elles peuvent avoir recours à des techniques ingénierie sociale en utilisant par exemple des courriels piégés pour vous amener à communiquer vos informations personnelles comme vôtre mot de passe.
Dans cette unité vous allez découvrir en détail les différents modes d'attaques possibles sur les mots de passe afin de mieux comprendre l'importance de la sécurisation des authentifications.
Les attaques dites « directes » sont celles par lesquelles un attaquant va s'attaquer de manière très concrète à votre mot de passe ou au système d'authentification.
Ce type d’attaque lui permet de récupérer vos identifiants et mots de passe pour se connecter ensuite sur votre compte en utilisant les mêmes moyens que les vôtres.
L'attaque par force brute est la première attaque à connaître car il s'agit de l’attaque directe la plus simple.
Elle consiste tout simplement à tester tous les mots de passe possibles un à un jusqu'à tomber sur le bon, c’est pourquoi elle est souvent considérée comme l'attaque la moins rapide. Un individu malveillant pourra par exemple utiliser un programme qui testera automatiquement et successivement des combinaisons de caractères alphanumériques jusqu'à trouver le bon mot de passe.
L'attaque par dictionnaire suppose que vous allez utiliser un mot de passe facile à retenir, comme un lieu de naissance, un prénom, une date marquante ou des combinaisons de ces différents éléments.
Dans ce cas, l’attaquant peut recourir à de l'ingénierie sociale pour trouver des informations vous concernant par exemple en recherchant sur les réseaux sociaux, et réussir plus rapidement son attaque.
Pour préparer cette attaque, les attaquants fabriquent des « dictionnaires » composés d’une liste de mots de passe potentiels contenant des mots du dictionnaire (de langue française ou étrangère), avec plus ou moins de personnalisation selon la personne, la nationalité, l'âge, etc.
Des dictionnaires prêts à l’emploi et adaptés à la langue de la cible sont disponibles sur Internet et certains plus complets peuvent aussi s'acheter ou s'échanger entre attaquants.
Notez que les attaques par force brute commencent très souvent par des attaques par dictionnaire, afin de tester les mots de passe les plus vraisemblables dans un premier temps.
Une variante de l’attaque par dictionnaire est l’attaque par permutation. Elle consiste à fabriquer des dictionnaires en modifiant certains caractères. Les attaquants se servent ainsi des ruses utilisées par la plupart d'entre nous par exemple un @ à la place d'un a, le chiffre 0 à la place d'un O, ajouter 123 après un mot, etc.
Le dictionnaire est l'ensemble des mots « communs » (qu'ils soient génériques ou spécifiques à la victime) et les règles de permutation vont effectuer les transformations sur le mot à la volée en changeant par exemple le mot ballon par « b@llon » ou encore « b@11on ».
Notez que la vitesse de compromission des mots de passe varie selon que l’attaque se déroule en ligne (c’est-à-dire en interagissant avec le service) ou hors-ligne (c’est-à-dire que l’attaque peut être menée sans accès au réseau).
En effet, avec les attaques en ligne un attaquant est confronté à plusieurs problématiques comme la vitesse du réseau, les performances du serveur, ou encore la limitation du nombre d’essais.
En revanche, ces paramètres n’affectent pas les attaques hors-ligne qui sont plus rapides et plus discrètes. Pour améliorer l’efficacité de son attaque, l’attaquant peut disposer de ses machines en propre, utiliser des machines de calcul louées, ou exploiter un réseau d’ordinateurs compromis (botnet).
L'attaque peut être facilitée lorsqu'il est possible de la « distribuer », autrement dit de répartir la charge de travail entre plusieurs ordinateurs en testant un ensemble de mots de passe en parallèle.
Ainsi, un attaquant qui aurait accès à 10 000 ordinateurs et qui pourrait lancer son programme sur ces 10 000 ordinateurs en distribuant les calculs, pourrait accélérer de 10 000 fois le temps de calcul de son attaque.
D’autres attaques nommées « attaques de proximité » regroupent toutes les attaques qui seront sans intermédiaire, qu’il s’agisse d’humain ou de machine.
Il peut s’agir d’un coup d'œil au-dessus de votre épaule lors de vos opérations au distributeur automatique de billets, ou encore d’un visiteur dans l'entreprise qui regarde sous le clavier s'il n'y a pas un post-it ou si le mot de passe de l'équipe n'est pas noté au tableau.
Les prestataires de services externes à l'entreprise et disposant d'un accès aux locaux sont également des attaquants de proximité possibles.
On désigne ces attaques par le terme anglais « evil maid attack ».
D'autres attaques peuvent être plus sophistiquées comme un hall de gare avec une caméra équipée d’un bon zoom, ou plus complexe mais très efficace, comme deviner le mot de passe par écoute du spectre électromagnétique du clavier dans la salle, comme l'a réalisée l'École Polytechnique Fédérale de Lausanne en 2008.
Une autre attaque consiste à piéger un matériel informatique (poste de travail, téléphones portables, équipements de paiements, etc.).
Ce piégeage peut concerner n'importe quelle partie de l'équipement : port USB, carte mère, disque dur, clavier, lecteur de carte, etc.
Ces attaques nécessitent que l'attaquant ait un accès physique au matériel ce qui lui fait prendre un risque.
Mais l'enjeu peut en valoir la peine et c'est la raison pour laquelle ces attaques sont malgré tout non seulement réalistes mais même assez courantes (en particulier, dans le monde de la monétique).
Certaines attaques peuvent être combinées : elles profitent d'un défaut de conception du matériel (port FireWire à une certaine époque) pour récupérer des données (mot de passe par exemple) ou modifier le système d'exploitation en fonctionnement. Quelques secondes peuvent suffire et il est quasiment impossible de s'en rendre compte.
Les attaques matérielles sont souvent très difficiles à détecter.
C'est pourquoi, si vous pensez que votre équipement contient des données suffisamment sensibles pour qu'il puisse être une cible, vous devez le conserver en permanence sous votre contrôle (sur vous ou dans un lieu réputé sûr).
Plutôt que de mener une attaque complexe, un attaquant pourra donc se contenter de corrompre votre poste pour y récupérer des mots de passe.
Des keyloggers, ou enregistreurs de frappe sont ainsi disponibles pour une cinquantaine d'euros, à brancher au niveau des ports USB de votre poste, ou directement au niveau de la carte mère.
Ces enregistreurs peuvent ensuite être récupérés par l'attaquant, mais ces dispositifs peuvent aussi parfois envoyer les frappes enregistrées par réseau wifi ou 3G.
Il suffit alors à un individu malveillant de les brancher entre votre câble USB de clavier et votre unité centrale pour récupérer l’ensemble des caractères que vous saisissez au clavier, dont vos mots de passe.
Ce piégeage peut aussi être réalisé par un programme malveillant (virus, maliciel, etc.) qui lui aussi enregistrera toutes les frappes clavier et les transmettra par Internet aux individus qui contrôlent le programme en question.
Certains sont mis à disposition gratuitement sur Internet. D'autres, plus perfectionnés, sont en vente libre (leur prix varie généralement en fonction de leur capacité de contournement des protections antivirus).
Notez que lorsque le disque dur d'un ordinateur n'est pas chiffré, il est possible d'en extraire beaucoup d'informations sans avoir besoin de connaître le mot de passe de l'utilisateur.
Pour éviter que vos mots de passe ne soient facilement interceptés, ne les écrivez pas sur un post it, ne les sauvegardez pas dans un fichier texte utilisé comme mémo et ne les partagez pas par e-mails.
Les solutions de chiffrement sont encore assez peu utilisées mais elles permettent de rendre le contenu du disque illisible par un individu malveillant qui ne possède pas le mot de passe de déchiffrement.
Le chiffrement sera abordé dans un prochain module.
D'autres attaques font également appel à des technologies beaucoup plus évoluées, permettant de récupérer les mots de passe directement dans la mémoire vive d'un poste, telles que les attaques par démarrage à froid.
Celles-ci consistent à couper l'alimentation d'un poste allumé, par exemple le poste d'un utilisateur l'ayant verrouillé, puis à remettre les composants sous tension au sein d'un poste contrôlé par l'attaquant.
Les mémoires volatiles (aussi appelées RAM) conservent alors les traces du contenu de la session précédente.
Un autre type d’attaque, l’attaque indirecte, permet également de récupérer vos mots de passe.
À l’inverse des attaques directes qui volent vos mots de passe sur vos postes ou lors de vos frappes au clavier, les attaques indirectes utilisent la ruse pour vous piéger et récupérer vos informations d’authentification à votre insu.
L’ingénierie sociale est une technique fréquemment utilisée par les pirates pour vous atteindre et accéder à vos informations par la ruse.
Rappelez-vous ce que nous avons vu dans les précédentes unités, l’hameçonnage (ou phishing) qui tire son nom de la pêche en anglais, consiste à tendre un hameçon, sous la forme d'un mail, d'un message de forum, d’un sms, d’une fausse pub, etc.
Il suffit ensuite d'attendre que nous autres, petits poissons, mordions à l'hameçon et donnions à l'attaquant ce qu'il veut.
Qui n'a jamais reçu d'email indiquant que son compte de messagerie, ou qu’un service web un tant soit peu connu, soit suspecté de malveillance ou piraté ?
Initialement rédigés dans un français douteux, ces courriers vous incitent à cliquer sur un lien web pour résoudre le problème.
Et c’est là que les ennuis commencent en réalité, puisque le lien ne mène pas à « monservicemail.com » mais à « monservicemaii.com », ou encore vers le très convainquant « monserviceemaiI.com ».
Les services de transport postal, web-marchands, magasins d'applications, services de cloud, messageries en ligne, sites bancaires etc. sont souvent l'objet de campagnes de hameçonnage.
Souvent, l'individu malveillant a pris la précaution de positionner le lien sur une image Web qui affiche bien la bonne orthographe, mais qui dirige vers une adresse contrôlée par un pirate.
Ces différentes ruses n'ont qu'un seul objectif : vous emmener sur un site conçu par l'attaquant et qui ressemble en tous points au service attendu, mais qui se contente de récupérer vos identifiants.
Dès que vous saisissez ceux-ci, le site de l'attaquant pourra alors prétexter une erreur réseau ou tout simplement les utiliser pour se connecter au service de messagerie officiel et vous y rediriger, rendant l'attaque alors quasiment invisible.
Ce dernier exemple s'applique à quiconque, mais lorsque c'est une entreprise privée ou une administration publique, qui est visée, l'attaque peut être beaucoup plus ciblée et donc redoutablement efficace : utilisation des adresses électroniques du support informatique, signature avec l'adresse d'un collègue de confiance, envoi de plusieurs mails coordonnés, etc.
Une autre technique utilisée par les pirates consiste à se renseigner sur vous pour déjouer les mécanismes de recouvrement qui reposent souvent sur une question secrète.
Il y a quelques années, la solution la plus utilisée sur de nombreux sites pour résoudre le problème de la perte du mot de passe était la « question secrète ».
Ce genre d'informations n'étant, de manière générale, pas confidentiel, il suffisait à l'attaquant de se renseigner un minimum sur sa cible, voire de lui demander directement les réponses à ses questions en se faisant passer pour un service municipal ou tout autre possibilité selon l'inventivité de l'attaquant et le manque de vigilance de la victime.
Les méthodes de recouvrement plus modernes basées sur l'envoi de SMS et la récupération à partir d'adresses électroniques de secours présentent elles aussi des risques.
En effet, les SMS peuvent être interceptés avec du matériel d'interception téléphonique (IMSI catcher), ou d'autres méthodes.
Notez cependant que ces moyens techniques évolués sont rarement utilisés sur les utilisateurs lambda et qu’ils nécessitent de se trouver « au bon endroit » et « au bon moment » pour fonctionner.
Pour la plupart des usages courants, les SMS représentent donc un « second facteur » d’authentification adapté.
Nous avons parlé des attaques sur le mot de passe, mais le même principe peut être utilisé pour vous pousser à donner à un attaquant l'accès à vos informations sensibles : documents de travail, ou encore les coordonnées de collègues qui serviront à faciliter de futures attaques, etc.
Il est malheureusement impossible d'être exhaustif quant aux possibilités d'attaques de manière générale, mais plus encore dans le domaine de l'ingénierie sociale où l'inventivité des attaquants trouve peu de limites.
Il est possible pour une entreprise ou un fournisseur de services sur le web de disposer d'un système d'information à l'état de l'art de la sécurité et de voir certains de ses utilisateurs piratés sans que la sécurité du système en lui-même ne présente de défaut.
En effet, de nombreux utilisateurs utilisent aujourd’hui encore le même mot de passe pour un certain nombre de sites.
Les pirates se contentent alors d'attaquer des sites à la sécurité faible tels que des forums amateurs ou d'acheter sur des marchés parallèles des listes de mots de passe de sites piratés, puis de réutiliser les mots de passe obtenus sur des sites plus rentables, tels que des sites bancaires ou des services de messagerie.
Enfin, un autre type d’attaque indirecte utilise les interceptions réseaux.
Celles-ci interviennent lorsqu'un pirate a pu se placer sur le lien de la communication et peut dans certains cas, lire les échanges non chiffrés (mails, recherches internet, etc.) ou encore les modifier, par exemple en se plaçant sur le même réseau Wifi de l'hôtel où vous résidez.
De nombreuses attaques sont possibles.
L’attaquant peut par exemple se faire passer pour votre correspondant et ainsi récupérer les données attaquées.
Il peut également forcer l’utilisation de protocoles obsolètes ou de technologies moins sécurisées pour exploiter des vulnérabilités connues.
À titre d'exemple, nous avons cité l’outil IMSI Catcher permettant d'intercepter les communications téléphoniques.
Notons que cet outil reste incapable de percer le chiffrement des nouvelles technologies mais se contente de les brouiller. Les téléphones, afin de continuer à fournir le service téléphonique, choisissent alors des méthodes plus anciennes, comme si vous étiez en montagne dans une zone couverte en 2G, mais pas en 4G, et l'attaque peut alors se faire.
Ce principe se retrouve sur la plupart des communications et nécessite un compromis entre sécurité et continuité de service.
Rares sont les cas où nous acceptons de ne pas accéder au service car la sécurité n'est plus au rendez-vous.
Nous avons pu voir un certain nombre d'attaques sur les authentifications.
Bien entendu, ce n’est pas exhaustif et les possibilités n'ont de limite que l'imagination des attaquants.
Loin de nous décourager, nous pourrons découvrir dans la suite de ce parcours un certain nombre de moyens pour protéger notre authentification des attaques de type : enregistreur de frappe, hameçonnage, interception réseau, etc.