Codes 2FA par texto: l’illusion de la sécurité renforcée?

Bien que la technologie d’authentification à deux facteurs («2FA», dans le jargon) s’avère une excellente façon de blinder et sécuriser nos comptes d’accès à des applis et des services en ligne, la réalité demeure que la chaine n’est aussi solide que son maillon le plus faible. Dans le cas de 2FA, un article récent trouvé sur TechRepulic soulignait qu’une pratique laxiste de plusieurs organisations (dont des banques!) nous donne parfois l’illusion de sécurité en configurant mal ce dispositif.

Le problème dont on parle ici c’est le fait que certaines entreprises permettent aux usagers de recevoir leurs codes 2FA par textos (SMS), par opposition à les recevoir directement par l’entremise d’utilitaires logiciels de génération de code 2FA, tel Google Authentificator. En pratique, la vaste majorité des cas où une intrusion se produit (malgré l’activation et l’utilisation de 2FA sur un compte visé), c’est parce qu’on permettait la communication des codes 2FA par SMS. L’inverse se produit, mais cela demeure très marginal.

Pour ceux et celles qui ne le font pas encore, sachez que tous vos comptes qui le permettent (encore plus au travail) devraient être configurés par vous afin d’utiliser une seconde méthode d’authentification, par un dispositif de style 2FA. Dans le monde d’aujourd’hui, ne pas le faire s’avère ni plus ni moins qu’une faute, dont le coup pourrait être l’exposition de vos données ou de celles de vos clients en cas de hack (intrusion informatique, etc.).

En fait, tous les experts en cybersécurité s’entendent pour dire que permettre la transmission de codes 2FA par SMS rend ce genre de système beaucoup plus faible, au point où on recommande dorénavant de complètement retirer cette fonctionnalité des systèmes d’authentification. Dans la mesure où la législation requiert dorénavant se déployer des moyens raisonnables afin de sécurisé les données qu’on détient pour/sur autrui, on arrive rapidement à un point où utiliser une appli ou un service transmettant des codes 2FA par texto pourrait aussi être vu comme de la négligence. Oui, vraiment.

Le hic de ce côté, c’est que nombre d’entreprise, continuent encore de configurer leurs systèmes, pour permettre aux utilisateurs qui le désirent, d’éviter devoir utiliser une application telle Google Authentificator, en se tournant plutôt vers des textos par l’entremise desquels les codes peuvent leur être transmis. En le permettant, ces organisations bernent en quelque sorte leurs usagers, en leur permettant de croire que leur compte est blindé.

Et vous, vos applis et services en ligne permettent-ils encore de vous envoyer vos code 2FA par textos? Si oui, vos comptes en question ne sont pas aussi sécures que vous pouviez le croire -désolé. Si c’est crucial pour votre organisation ou implique l’accès aux données d’autrui, vous voulez peut-être reconsidérer l’utilisation des applis ou des services en question. Alternativement, bon à savoir que plusieurs applis/services permettent dorénavant de désactiver cette combinaison 2FA/SMS, ce que tout usager soucieux de voir à la sécurité de ses données devrait définitivement faire.

Le gouvernement du Canada revampe complètement le processus de connexion à ses services en ligne

Le gouvernement fédéral a finalement compris, après 10 ou 20 ans à faire les choses à l’ancienne, qu’émettre des codes d’usagers individuellement par ses divers ministères (sans vérification réelle d’identité ni renforcement) mène à un non-sens, dont en matière de cybersécurité. Oui, à compter de très prochainement, toutes les organisations et entreprises qui veulent interagir avec un ministère ou ses services en ligne devront le faire grâce à une nouveau dispositif.

L’OPIC (l’«Office de la propriété intellectuelle du Canada») donnait justement une formation à ce sujet la semaine dernière, pendant laquelle on nous a exposé l’arrivée du Canada en 2022, quant à la méthode que les usagers devront dorénavant utiliser pour se connecter aux services gouvernementaux, tels que ceux de l’OPIC.

Le nouveau système mettra au rancart le système ISED que les entreprises devaient jusqu’à maintenant utiliser pour se connecter.

Le gouvernement met notamment en place une nouvelle clé (la CléGC) pour chaque usager individuel, laquelle impliquera la vérification de l’identité et de l’existence réelle des individus qui prétendent se connecter à un service gouvernemental pour le compte d’une entreprise. Il va sans dire que chaque usager individuel devra aussi être autorisé pour agir pour une organisation. Ce n’était pas déjà le cas me demanderez-vous? Euh, non, en fait, pas réellement en tout cas. Jusqu’à maintenant, les entreprises se créaient des codes souvent uniques qui étaient utilisés par nombre d’employés ou de dirigeants, en les partageant ainsi sans réelle vérification de qui ils étaient.

Grâce à ce nouveau système, on éliminera donc à l’avenir l’utilisation et la réutilisation des codes d’usagers non-authentifiés. Finit l’époque où les usagers d’une firme de 20 personnes utilisaient tous le même code d’accès. Côté sécurité informatique, disons que c’est assez de base comme façon de fonctionner mais, bon, félicitation le Canada pou r y parvenir finalement.

Autre amélioration absolument normal à mettre en place en 2022, le système emploiera maintenant l’authentification à deux facteurs (2FA), aussi un concept que toute organisation un tant soit peu préoccupée par la cybersécurité devrait employer depuis longtemps. Bravo aussi pour celle-là, même si cela fait partie des pratiques normales ailleurs depuis déjà des années.

Il s’agit donc d’un pas dans la bonne direction, disons-le.

Bref, si votre organisation doit régulièrement interagir avec le gouvernement fédéral ou l’un de ses ministères, je vous recommande fortement d’y voir. D’ailleurs, les anciens codes d’usagers désuets deviendront bientôt obsolètes, incluant la possibilité de vous connecter à plusieurs par l’entremise d’un même compte. La mise en place débute le 28 mars prochain.