Pour gérer vos consentements :

Le SMS : un point faible de l’authentification forte ?

Excepté le paragraphe introductif, les notes et les intertitres, c’est quasiment le seul élément en gras dans la dernière révision des recommandations du NIST (National Institute of Standards and Technology) : le SMS est considéré comme obsolète pour l’authentification forte.

L’agence rattachée au département du Commerce des États-Unis recommande de se tourner vers des mécanismes dits « plus sécurisés », notamment les applications mobiles et la biométrie*.

Si ces consignes ont une valeur générale, elles ne s’imposent, dans la pratique, qu’aux organes gouvernementaux qui implémentent des dispositifs d’authentification électronique dans leurs systèmes d’information. Leur dernière rédaction – datée du 26 juillet 2016 – n’est, par ailleurs, encore qu’à l’état d’ébauche.

Pour autant, le ton est donné. En premier lieu au point 4, qui concerne les garanties minimales correspondant à chaque niveau d’authentification. Y est inséré un renvoi vers la section 5.1.3 pour obtenir plus de détails sur la « révision partielle » du statut de l’authentification de type « Out of Band », c’est-à-dire via un appareil physique disposant d’un identifiant propre et capable de recevoir, via un canal de communication séparé, un élément à usage unique.

Au point 5.1.3.1, le NIST détaille les caractéristiques que doit présenter ce dispositif physique. Par « identifiant propre », l’agence entend notamment une clé de sécurité ou une carte SIM.

Des PIN et des SMS

C’est au point 5.1.3.2 qu’il est fait mention du SMS. Si l’authentification se fait par ce moyen sur un réseau de téléphonie mobile à l’usage du public, le fournisseur du service d’authentification « devrait » s’assurer que le numéro de téléphone est bien associé à un forfait et non à un service logiciel de type VoIP.

Le problème avec ces services qui envoient des messages texte ou passent des appels téléphoniques pour communiquer un code de sécurité ? Ils peuvent, selon le NIST, être détournés par un tiers qui n’est pas en possession du « dispositif physique » sus-évoqué. Même constat pour les e-mails et les SMS, qui « n’attestent généralement pas de la possession d’un appareil spécifique ».

L’ensemble de ces recommandations devraient, en respect des considérations d’obsolescence prononcées à l’égard du SMS, disparaître dans une prochaine version du document.

Les conseils concernant les mots de passe et les codes PIN devraient quant à eux perdurer : au moins 8 caractères en cas de définition par l’utilisateur, possibilité d’exploiter exclusivement des caractères numériques si défini de manière automatique par le fournisseur du service, mise en place d’un liste de termes interdits, etc.

* Par exemple, le protocole UAF (Universal Authentication Factor), spécifié dans la norme FIDO (Fast IDentity Online) que chapeaute l’alliance du même nom, et qui permet l’identification biométrique à travers des dispositifs comme le lecteur d’empreintes digitales, la reconnaissance faciale et l’analyse rétinienne.

Crédit photo : Bruce Rolff – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago