La MFA est-elle la panacée en matière de sécurité ?
L'authentification multifactorielle (MFA) est un processus de connexion au compte à plusieurs étapes qui nécessite que les utilisateurs saisissent des informations supplémentaires, au-delà d'un simple mot de passe.
Par exemple, il s’agit de saisir un code reçu par SMS, un code personnel de connexion supplémentaire via un portail secondaire, etc.
L’actualité récente du piratage informatique a montré que l’absence de MFA pouvait faciliter, voire amplifier, la fuite de données de millions d’utilisateurs.
La présence de MFA est-elle donc la panacée ?
Au vu de mon expérience, la réponse est non ! Et voila pourquoi…
Un dispositif de sécurité aux failles béantes
Exceptionnellement, je vais vous raconter mon expérience personnelle du piratage informatique et vous en tirerez les conséquences…
Après avoir passé deux jours à Monaco pour assister à « Ready For IT », l’évènement incontournable organisé pour les entreprises engagées dans la transition et la sécurité numériques, où se rencontrent DSI, RSSI et autres CTO, j’ai passé un week-end de Pentecôte pourri par des intrus qui ont piraté mon Smartphone et mon compte bancaire, qui ont initié des virements externes et multiples de 500 euros, des virements à l’étranger, qui ont inscrit dans les bénéficiaires de virements externes de mon compte des personnes que je ne connais pas, qui se sont inscrits sous mon identité à « Lyf Pay » (dont je n’avais jamais entendu parler d’ailleurs) et qui, peut-être, ont fait d’autres choses que nous n’avons pas encore identifiées…
Cette expérience désastreuse et terriblement stressante va au moins me permettre de montrer les failles d’un système qui nous est présenté par les grands groupes bancaires comme «très sécurisé » et qui en fait ne l’est pas du tout.
Dans le dispositif des pirates informatiques, il y a :
la récupération de données personnelles leur permettant de « prouver » votre identité,
le SIM swapping,
et des moyens facilitant l’extraction d’argent, comme la clé digitale que proposent certaines banques.
Le vol de données personnelles
De mon expérience, il semble que le vol de données personnelles soit vraiment l’acte 1 d’une opération de piratage et d’escroquerie financière.
Étant un peu paranoïaque, à force de vivre au contact des spécialistes de la cybersécurité et de la sécurisation des systèmes d’information, je n’ai aucune information relative à mes données bancaires et à mes mots de passe en dehors de mon domicile (et encore sont-elles bien cachées) : ni dans mon Smartphone, ni dans mes ordinateurs, nulle part.
Mes ordinateurs et mon Smartphone sont régulièrement mis à jour et sont de plus protégés par un puissant antivirus, bien connu dans le marché et continuellement mis à jour.
Je n’ai pas souscrit à une clé digitale, je ne paie donc pas avec mon Smartphone, j’ai une carte anti-phishing (gentiment offerte par le Clusif) au milieu de mes cartes bancaires et censée les protéger, je ne réponds jamais à des interlocuteurs inconnus, je ne clique pas sur des SMS ou e-mails que je ne connais pas et surtout pas sur des liens ou des fichiers joints, etc.etc.
Et pourtant j’ai été piraté !
Où peut-on trouver mes données personnelles relatives à mon identité complète, mon numéro de téléphone mobile (même si c’est le plus simple), mon adresse complète, ma date et mon lieu de naissance, mon numéro d’accès à mon compte bancaire (qui n’est inscrit que sur mes relevés de compte bancaire), etc.
A part chez mon banquier, je ne vois pas…
Donc l’acte 1 ayant permis aux escrocs de récupérer mes données personnelles, ils ont pu déclencher l’acte 2, à savoir voler mon numéro de téléphone.
Le SIM swapping
La technique du SIM swapping permet de récupérer votre numéro et votre ligne de mobile, pour l'associer à un nouveau mobile.
Le fraudeur recevra ainsi tous les codes SMS permettant de valider des paiements en ligne par carte bancaire ou d’accéder à certaines fonctionnalités de votre espace de banque en ligne.
Quelques exemples explicites sur le Crédit Mutuel de Bretagne :
L’acte 3 pouvait alors démarrer:
Samedi 18/05 à 17:53, mon opérateur SFR m'a envoyé un SMS m’informant de l'activation dans leur boutique de Nice République de ma nouvelle carte SIM. Bien sûr étant à ce moment-là à Paris, je n’étais pas à l'origine de cette démarche. En week-end et pas plongé en permanence sur mon téléphone, je n’ai vu qu’une heure plus tard ce message. Le temps que j’appelle le 1023, mon téléphone avait été désactivé par le remplacement de ma carte SIM. Vers 19 :00 je pus enfin contacter SFR par un téléphone fixe, leur expliquer la situation et faire annuler la carte SIM délivrée à Nice. Mais il était déjà trop tard…
En effet, à 18:19 j'avais reçu 2 messages de ma banque m'informant de la réinitialisation de mon code secret d'accès à mon compte bancaire : j’essayais d'y accéder vers 19 :10, mais je ne pouvais plus, mon code secret ayant été abusivement changé entre-temps.
Dans ce même laps de temps, à 18 :24 j'avais reçu une alerte par e-mail de la banque disant: "Nous venons d'enregistrer l'activation de la Clé Digitale sur votre appareil iPhone. Depuis cet appareil, vous pouvez dès à présent valider vos opérations sensibles en saisissant simplement le code secret, identique à celui utilisé pour la connexion à vos comptes, etc."
Outre que j’ai un Samsung Galaxy, j’avais de quoi m’affoler…
La Clé Digitale est-elle une sécurité ?
L’accroche marketing d’une grande banque, en l’espèce BNPParibas, c’est : « La clé digitale remplace tous les codes de validation que vous pouviez recevoir par SMS : un écran récapitule toutes les données de l'opération à valider et la validation se fait en quelques secondes. Plus simple, plus rapide, avec la garantie d'une protection optimale. »
En fait, la mode est à la facilité en tous genres et les jeunes qui sont autour de moi en sont très friands.
Sauf qu’il n’y a aucune sécurité sérieuse et le déroulé de mon piratage le prouve aisément.
Il suffit de capter un numéro de téléphone et l’opérateur qui va avec, de demander une nouvelle carte SIM et manifestement c’est d’une simplicité affligeante (quand ce n’est pas doublé d’une complicité à l’intérieur d’une boutique d’opérateur ?), d’avoir obtenu le numéro d’accès internet au compte d’une personne et vous pouvez immédiatement changer les mots de passe et faire votre marché sur ses avoirs bancaires !
La CNIL ferait bien de se pencher sur le sujet, plutôt que de s’occuper de sujets vaseux comme elle le fait parfois.
Alerte Assistance ?
Samedi 18/05, à 18 :19 pour le changement de code secret et à 18 :24 pour l’enrôlement de la clé digitale, messages de la banque : « Si vous n'êtes pas à l'origine de cette demande de changement, merci de contacter rapidement le service Relation Client ».
Sauf que l’agence bancaire a fermé car le week-end de 3 jours a commencé…
Donc me direz-vous, pas de problème puisqu’il y a le numéro d’urgence : “3477” pour BNPParibas ou “3933” pour Société Générale. Et là vous tombez sur un disque qui vous dit que le service a fermé à 19 :00 et de contacter votre agence mardi matin !
le 19/05/2024 à 00:57:58 (donc en pleine nuit) j’ai reçu un nouveau mail automatique de virement externe : "Le bénéficiaire X a été ajouté en vue de réaliser des virements externes. Le RIB associé est **** **22 663. Si vous n'êtes pas à l'origine de cette opération, veuillez vous connecter à votre compte et supprimer ce bénéficiaire de votre liste, puis vérifier vos dernières opérations."
Sauf que depuis la veille 18 :20, je ne peux plus me connecter à mon compte !
Donc, pendant 3 jours, vous regardez passer les virements frauduleux initiés par votre pirate sans pouvoir bloquer votre compte. Il ne l’a finalement été que le mardi matin à l’ouverture de l’agence.
Ces grandes banques ne fonctionnent en urgence que les jours d’ouverture et dans les horaires de bureaux…
Voila pourquoi, au cas où vous ne l’auriez pas réalisé, les pirates informatiques et autres escrocs agissent surtout pendant les week-ends et les jours fériés.
Je connais au moins une autre personne qui s’est faite dépouillée pendant le week-end de Pentecôte d’une grosse somme d’argent et je ne doute pas que d’autres l’auront été malheureusement…
Conclusions :
Où les pirates informatiques ont-ils obtenu toutes les informations essentielles à la réalisation de ces actes malveillants** ?
Il y a quelque chose à revoir dans la facilité avec laquelle les opérateurs téléphoniques délivrent des cartes SIM, y compris par téléphone.
Les failles chez les opérateurs téléphoniques annihilent de fait l'authentification multifactorielle (MFA).
Les grandes banques ne sont pas sérieuses en matière « d’assistance en urgence » de leurs clients, alors qu’on n’a jamais parlé autant de la recrudescence d’actes malveillants et de fraudes via internet.
Auparavant les banques envoyaient les codes cartes ou codes d’accès sous pli postal grisé. Maintenant on nous les envoie par SMS lisibles par tout un chacun ou par e-mail en clair. Ce n’est pas sérieux.
Voila peut-être de vraies questions à se poser.
Mais il est vrai que c’est nettement moins sexy que de nous parler d’IA à longueur de colloque.
Et pourtant…
AE
*MFA: multi-factor authentication.
**Une énorme base de données, avec près de 13 millions d'identifiants français, a été découverte sur le Dark Web. Elle existe depuis des mois, selon PhonAndroid 06/03/2024
Crédit photo: Axa