Aujourd'hui dans les entreprises c'est la grande mode, pour masquer leur incompétence mettent en place du MFA pour Multi Factor Authentication ou authentification à facteurs multiples pour les gens qui, comme moi, n'aiment pas trop le jargon anglisciste. Le MFA ce sont les banques qui y ont pensé en premier, d'abord avec un petit carton à garder sur soi et sur lequel il y avait une bonne soixantaine de codes à donner en plus de son mot de passe pour se connecter au site de sa banque pour suivre, en ligne, ses comptes. Problème, l'encre sur le carton s'effaçait, la combinaison secrète pour utiliser le carton se perdait, et un carton avec des codes écrits dessus ... C'était très con. Ils sont donc passés au SMS, et donc pour valider un paiement ou se connecter à son compte on recevait un petit SMS avec un code à saisir, oui mais voilà, un SMS ça s'intercepte, un mobile ça se vole et vous savez quoi ? Ben en fait c'est pas mieux voire moins bien. Du coup maintenant il faut sairi un code secret qu'n a en tête pour valider puis le code SMS ensuite pour valider un achat ... On est bien conscient que là c'est juste le code secret qu'on a en t^te qui sécurise la transaction et que l'usine à gaz qui envoie les SMS est parfaitement inutile ou on a pas tout suivi ?
Ayant vu ce mécanisme d'une crétinerie hors du commun, les spécialistes de la sécurisation des accès se sont dit, voilà un bon moyen de
Vous me direz il faut être un sacré hacker pour savoir ça et je vous répondrai, non bande de niquedouilles, il suffit dobserver le fonctionnement de la chose. Lorsqu'on veur utiliser du MFA et générer la fameuse suite de 6 chiffres il faut un logiciel qui sache le faire certes, mais ce logiciel n'est pas celui de votre banque ou de votre fournisseur de plateforme mail / bureautique / cloud "sécurisée", ben non, n'importe leque fonctionne. N'importe lequel certes mais il y en a combien ? Deux ? Trois ? ... Perdu il y en a des centaines, tous efficaces, la seule chose que vous avez besoin de leur fournir c'est deux fois de suite la suite de 6 chiffres et ensuite, indéfiniment, ils fournissent la bonne suite de 6 chiffres au bon moment, ce qui veut dire que l'algorithme, la manière de calculer la suite de 6 chiffre est connue de tous (ou au moins de tous les programmeurs qui veulent faire un logiciel d'uthentification MFA).
Je ne fais pas durer le suspence plus longtemps, l'algorithme est connu, il s'appelle OATH (pour Open AuTHentication ou authentification ouverte) et est intégralement décrit sur le site openauthentication.org. C'est donc une passoire comme tous les autres algos du même acabit. Le souci c'est que ça fleuri de partour et que ça pourrit bien la vie des utilisateurs dont je fait partie. Car là encore la seule partie fiable de l'athentification c'est le mot de passe secret que vous avez en tête, pas les chiffres que vous avez par SMS / dans une appli sur vtre téléphone / sur une clé électronique, ou dans un calculateur dans votre navigateur web. Les RSSI ne sont toujours pas compétents en sécurité alors que c'est très simple. Mot de passe (assez long pour ne pas le casser et assez simple pour pouvoir être retenu), point final pour les accès et des infrastructures accessibles au minimum. C'est pas compliqué, ça évite de se branler la nouille par dessous la jambe à main gauche et ça fonctionne.
Aucun commentaire:
Enregistrer un commentaire