3 septembre 2021

Et si le futur de l’authentification était la carte SIM ?

What Is a SIM Card? How Your Phone Connects to the Network

Introduction

Aujourd’hui, les SMS ou OTP (One Time Password) font désormais partie de notre quotidien lorsque nous souhaitons nous authentifier sur une application. En revanche, nous avons pu constater que ces solutions avaient parfois des défauts de sécurité que les attaquants utilisent afin de prendre le contrôle des comptes utilisateurs. Afin de pallier à ces problèmes, une nouvelle solution vient de voir le jour et se base sur un nouveau système : la sécurité renforcée de la carte SIM qui se trouve dans chaque téléphone mobile. Les réseaux mobiles authentifient les clients en permanence pour autoriser les appels et les données. Quant à la carte SIM, elle utilise une sécurité cryptographique avancée et constitue une forme établie de vérification en temps réel qui ne nécessite aucune application distincte ni aucun jeton d’authentification.

Comment cela fonctionne-t-il ?

Trust.ID est une API permettant l’authentification via la carte SIM disponible sur chaque téléphone mobile. Ici, un exemple de comment cela fonctionne :

Figure 1 : Exemple de flux de travail pour une application compagnon de connexion d’entreprise

Le workflow est simple :

  • L’utilisateur tente de se connecter à un système de l’entreprise (courriel, tableau de bord de données, etc.). Cela peut être sur le bureau ou sur le mobile.
  • Le système identifie l’utilisateur qui tente de se connecter et envoie une notification push.
  • L’appareil mobile et l’application de l’entreprise reçoivent la notification push et l’utilisateur est invité à confirmer ou à rejeter la tentative de connexion. Si c’est lui qui se connecte, il approuve.
  • Lorsque l’utilisateur approuve, une demande est faite à l’API via un backend pour créer une URL de vérification pour le numéro de téléphone enregistré de cet utilisateur.
  • L’application de l’entreprise demandera alors cette URL de contrôle via la connexion de données mobiles en utilisant un SDK de la solution. C’est à ce stade que l’opérateur de réseau mobile et tru.ID vérifient que le numéro de téléphone de l’appareil actuel correspond au numéro de téléphone que l’utilisateur a enregistré dans le système de connexion. Notez qu’aucune DPI n’est échangée. Il s’agit uniquement d’une recherche basée sur l’URL.
  • Une fois la demande terminée, le système sera informé si la demande de vérification de l’URL et la correspondance du numéro de téléphone ont réussi. Ceci est réalisé par un webhook.
  • Si la vérification du numéro de téléphone a réussi, l’utilisateur est connecté.

Conclusion

Cette solution pourrait en effet à l’avenir prendre la place de nos systèmes d’authentification actuels. Mais qu’en est-il vraiment d’un point de vue de sécurité ? Par exemple si un utilisateur se fait voler son téléphone et qu’un attaquant arrive à avoir un accès complet à l’appareil. Il faut que les entreprises qui souhaitent utiliser cette solution se posent les bonnes questions, réalisent des scénarios d’attaque possible et mettent en place toutes les mesures de sécurité nécessaires.

3 septembre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *