Kelly Martin du Security Focus passe, après l'Epitre de Schneier à ses apôtres banquier, une seconde couche de désintoxication salvatrice. Et à un moment ou précisément semble sévir une vague de phishing s'attaquant spécifiquement aux banques disposant d'un mécanisme d'identification « double facteur ». Pourquoi maintenant ? Probablement parce que les criminels spécialistes du phishing tentent de piéger les personnes se sentant protégées par ces méthodes apparemment infaillibles... ou décrites comme telles. Cri d'alarme de l'Alpha Bank Grecque, article alarmiste sur une « double facteur » façon « carte à gratter » dans les colonnes de Finextra ou du Register, sans mentionner la fameuse histoire de ce pseudo agent de la DGSE mais véritable escroc qui parvenait à plumer les banquier français... à ce stade, on dépasse le truandage de quintuple facteur.

A l'heure où l'identification « double facteur » devient une recommandation Fédérale aux Etats-Unis et risque de devenir une panacée en Europe, le nombre de vol d'identités soi-disant protégées par ce double facteur croît dans des proportions intéressantes. Tout ceci vient confirmer le vieil axiome qui dit « plus la serrure est complexe, plus la dextérité du cambrioleur s'affine »... mais jamais cette complexité ne diminuera le nombre de montes-en-l'air en activité.

Le principe de la carte à gratter -one time password, ou mot de passe à usage unique- est efficace... à l'unique condition que la liste des mots de passe « jetables » ne soit pas utilisée selon un ordre séquentiel. Le choix de la zone à gratter doit dépendre d'un « chalenge response » entre le serveur de la banque et le client, utilisant au moins un élément perturbant le déterminisme de l'opération. Les clefs de cryptage militaires courtes par exemple, celles destinées aux messages de service, dépendent elles-mêmes d'une procédure d'échange du genre « aujourd'hui, le mot de passe/clef de cryptage sera celui de la colonne X et de la ligne Y page Z du manuel M »... à moins de demander à l'usager de gratter la totalité de ses cases à mot de passe et de les communiquer, il est statistiquement difficile pour le Phisher de tomber par hasard sur un « chalenge response » identique à celui que demandera la banque (dans le cas contraire, l'usage de billets de la Loterie Nationale pourrait s'avérer moins aléatoire, moins illégal et plus payant pour lui). A moins que ce « chalenge-response » repose lui aussi sur un procédé déterministe trop simple à deviner. Et c'est souvent ce genre de bévue qui met à mal ces merveilleux procédés de sécurisation des transactions.

La simple idée de considérer le « double facteur » comme seul et unique moteur d'une sécurisation absolue est, on le comprend aisément, une hérésie absolue. A plus forte raison lorsque le premier facteur est non répudiable, non modifiable et constant. En d'autres termes si ce premier facteur d'identification repose sur une signature biométrique. L'arrivée du double facteur est un peu comme l'avènement du WEP 128. Tout au plus peut-il retarder une vague d'attaque, jamais il ne supprimera ou n'infléchira le risque d'imposture (terme étymologiquement plus exact que celui de « vol d'identité »).

Enfin, tout ceci relève encore, en France, du mauvais roman de science fiction. La majorité des organismes bancaires et financiers nationaux utilisent des procédure de « logon » à facteur unique, lequel facteur est parfois amputé d'un de ses membres puisque l'identifiant est très souvent impossible à modifier, et la procédure de changement rapide de mot de passe tellement complexe qu'elle découragerait un Bénédictin.

Achevons ce rapide tout d'horizon des mesures de « mauvaise sécurité par la pratique » avec cet article relevé, une fois de plus, par Bruce Schneier : L'Etat du Kentucky a reçu une distinction -et une gratification de 36 000 dollars- du Homeland Security pour son initiative volontaire visant à lutter contre le terrorisme. En effet, sous la tenace insistance du Bureau d'Etat aux Fêtes de Charité (Office of Charitable Gaming), les parties de Bingo et autres kermesse proposant des tombolas sont fliquées et filtrée. Le but, avouent les fonctionnaire dudit bureau, est d'empêcher des gangs de terroristes de ramasser le gros lot de ladite loterie, argent qui pourrait éventuellement servir à alimenter les caisses noires de Al Quaida, du Jihad Islamique, de la phalange « Résurrection Baader-Meinhof » et des escadrons « les héritiers Fraction Armée Rouge ». Tout ceci prouve à quel point les fonctionnaires du Kentucky savent manier l'humour et la dérision (et peut-être eun peu de roublardises envers le DHS). Car s'ils avaient fait preuve de sérieux, cela ferait belle lurette que leurs confrères de l'Etat du Nevada auraient mis tout Las Vegas en état de siège et sous surveillance renforcée.

. Web-profils.com, la place de marché du conseil et de l'ingénierie