Nouvelle fonctionnalité iOS 12 Risques d'exposer les utilisateurs à la fraude bancaire en ligne
Security Code AutoFill est une nouvelle fonctionnalité pour iPhones dans iOS 12. Il est censé améliorer la facilité d'utilisation de l'authentification à deux facteurs, mais pourrait exposer les utilisateurs à la fraude bancaire en ligne en supprimant l'aspect de validation humaine du processus de signature/authentification des transactions.
L'authentification à deux facteurs (2FA), souvent appelée vérification en deux étapes, est un élément essentiel de nombreux systèmes de sécurité, en particulier pour les transactions en ligne et l'accès à distance. Dans la plupart des cas, 2FA assure une sécurité étendue en vérifiant si l'utilisateur a accès à un appareil mobile. Dans le cas 2FA basé sur SMS, par exemple, un utilisateur enregistre son numéro de téléphone avec un service en ligne. Lorsque ce service voit une tentative de connexion pour le compte utilisateur correspondant, il envoie un mot de passe unique (OTP), par exemple quatre à six chiffres, au numéro de téléphone enregistré. L'utilisateur légitime reçoit ce code et est en mesure de l'entrer pendant le processus de connexion - quelque chose qu'un imitateur n'a pas accès.
Lors de la conférence des développeurs WWDC18 en juin, Apple a annoncé qu'il automatiserait cette dernière étape du processus 2FA dans iOS 12 afin d'améliorer l'expérience utilisateur. La fonction AutoFill du code de sécurité, actuellement disponible pour les développeurs dans une version bêta, permettra à l'appareil mobile de scanner les messages SMS entrants pour ces codes et de les suggérer en haut du clavier par défaut.
Description de la nouvelle fonctionnalité AutoFill du code de sécurité
(source: Apple)
Améliorer l'expérience utilisateur 2FA basée sur les SMS
Actuellement, ces codes SMS s'appuient sur l'utilisateur qui change activement d'applications et mémorise le code, ce qui peut prendre quelques secondes. Certains utilisateurs tentent de mémoriser le code à partir de la bannière de prévisualisation, puis l'entrez. La nouvelle fonctionnalité iOS d'Apple nécessite un simple robinet de l'utilisateur pour entrer automatiquement le code de sécurité. Cela permettra d'accélérer le processus de connexion et de réduire les erreurs, une amélioration significative de la convivialité de 2FA. Il pourrait également augmenter l'adoption de 2FA parmi les utilisateurs d'iPhone.
Exemple de code de sécurité AutoFill fonctionnalité en opération sur iPhone (source: Apple)
En outre, si les utilisateurs synchronisent SMS avec leur MacBook ou iMac, la fonction existante de diffusion de messages texte poussera également les codes de leur iPhone et activera le code de sécurité AutoFill dans Safari.
Exemple de code de sécurité AutoFill fonctionnalité synchronisée avec macOS Mojave (source: Apple)
Réduire la friction dans l'interaction avec les utilisateurs afin d'améliorer l'adoption de la technologie par les nouveaux utilisateurs et d'accroître la facilité d'utilisation et la satisfaction des utilisateurs existants n'est pas un concept nouveau. Il a été longuement discuté dans le milieu universitaire, et c'est aussi un objectif commun au sein de l'industrie, par exemple dans les services bancaires et financiers. Cela est évident dans la façon dontl'industrie des finances et des paiementsa encouragé les paiements sans contact (Near Field Communication ou NFC), ce qui rend les transactions inférieures à un certain seuil beaucoup plus rapides que les paiements traditionnels par puce et NIP.
IOS 12 Security Code AutoFill Feature pourrait exposer les banques et les utilisateurs à la fraude
En tant qu'architectes et concepteurs, en particulier dans le domaine de la sécurité informatique, nous savons que lorsque nous apportés des modifications à une partie d'un système, nous devons évaluer comment cela affecte toutes les autres parties avec lesquelles il interagit. Dans le cas de la prochaine fonctionnalité DeSecurity Code AutoFill dans iOS 12, tout en rendant le 2FA basé sur SMS plus pratique pour les utilisateurs, il peut annuler les avantages de sécurité de la signature de transaction et des numéros d'authentification des transactions (TANs).
L'authentification transactionnelle, par opposition à l'authentification utilisateur, témoigne de la justesse de l'intention d'une action plutôt que seulement de l'identité d'un utilisateur. Il est surtout connu dans le secteur bancaire en ligne, et en particulier comme un moyen de répondre à l'exigence de l'UE relative à la directive révisée sur les services de paiement (PSD2) pour un lien dynamique,où il est un outil essentiel pour se défendre contre les attaques sophistiquées. Par exemple, un adversaire peut essayer de tromper une victime en transférant de l'argent vers un compte différent de celui prévu. Pour ce faire, l'adversaire pourrait utiliser des techniques d'ingénierie sociale telles que l'hameçonnage et vishing et / ou des outils tels que Man-in-the-Browser malware.
L'authentification transactionnelle est utilisée pour se défendre contre ces adversaires. Différentes méthodes existent, mais dans celle de la pertinence ici - qui est parmi les méthodes les plus courantes actuellement utilisées - la banque va résumer les données de transaction, ajouter un TAN créé spécifiquement à partir de ces données, et envoyer les deux au numéro de téléphone enregistré par SMS. L'utilisateur, ou le client de la banque dans ce cas, doit vérifier le résumé et, si ce résumé correspond à ses intentions, entrez le TAN du message SMS dans la page Web.
TAN par SMS pour les services bancaires en ligne
Les détracteurs du BdP basé sur les SMS, qu'il soit utilisé pour l'authentification 2FA ou transaction, l'ont qualifié d'insécurité. Par exemple, ces dernières années, le National Institute of Standards and Technology (NIST) a d'abord critiqué publiquement les SMS comme moyen de communication pour l'authentification sécurisée, les qualifiant d'insécurité et d'inadaptés à une authentification forte. Cependant, plus récemment, ils ont adouci leur langue et au lieu de déprécié SMS 2FA. Pourtant, il est toujours considéré comme suffisamment sécurisé pour être utilisé pour l'authentification client forte (SCA) sous PSD2.
Comment le code de sécurité AutoFill pourrait annuler les avantages de sécurité de l'authentification des transactions
Cette nouvelle fonctionnalité iOS crée des problèmes pour l'utilisation des SMS dans l'authentification des transactions. Appliqué à 2FA, l'utilisateur n'aurait plus besoin d'ouvrir et de lire le SMS à partir duquel le code a déjà été facilement extrait et présenté. Le code est détecté dans un message basé sur des heuristiques telles que la proximité des mots «code» ou «code d'accès», qui sont utilisés dans les messages fournissant des codes 2FA et Des TAN. Code de sécurité AutoFill sur une page Web ou dans une application est alors suggéré si le champ d'entrée est étiqueté en conséquence.
À moins que cette fonctionnalité ne puisse faire une distinction fiable entre les OtP dans les OTFA et les TAN dans l'authentification des transactions, nous pouvons nous attendre à ce que les utilisateurs aient également leurs TAN extraits et présentés sans contexte des données de transaction, par exemple le montant et la destination de la Transaction.
Le fait qu'un utilisateur vérifie ces informations saillantes est précisément ce qui fournit l'avantage de sécurité. Le retrait de cela du processus le rend inefficace. Exemples dans lesquels le code de sécurité AutoFill pourrait poser un risque pour la sécurité bancaire en ligne comprennent une attaque man-in-the-Middle sur l'utilisateur accédant aux services bancaires en ligne de Safari sur leur MacBook, l'injection de l'étiquette de champ d'entrée nécessaire si nécessaire, ou où un site Web malveillant ou une application accède au service bancaire en ligne légitime de la banque.
Nous sommes ravis de l'amélioration prévue de la convivialité de 2FA et espérons qu'il encouragera plus d'utilisateurs iOS à adopter 2FA. Mais nous pouvons difficilement prédire l'avenir. L'authentification des transactions par SMS pourrait bien rester une technologie établie dans le domaine des services bancaires en ligne, les banques tenant leurs clients responsables si elles ne vérifient pas les informations de transaction. La question de savoir s'il est justifié d'imposer le fardeau aux utilisateurs qui se comportent comme encouragés par la technologie est à la fois une question philosophique et juridique.
Considérations pour les cas d'utilisation bancaire
Comme les banques continuent d'équilibrer les améliorations de l'expérience client avec la protection de leurs institutions et les utilisateurs contre la fraude, ils devraient se méfier de la nouvelle fonctionnalité de code de sécurité AutoFill. Nous recommandons aux banques d'examiner ce qui suit lorsqu'il s'agit de cas d'utilisation de l'authentification des transactions :
- Continuez d'éduquer les clients sur l'importance de valider soigneusement leurs détails de transaction lors de l'authentification d'une transaction, en particulier pour ceux qui reçoivent des TAN sur un iPhone
- Évitez d'activer la fonction AutoFill du code de sécurité pour les champs utilisés pour saisir les NAS pour l'authentification des transactions
- Mettre en œuvre des technologies d'authentification plus avancées telles que la biométrie (p. ex., empreintes digitales, visage, comportemental), la technologie hors bande (non basée sur les SMS) et/ou la notification push pour les transactions à risque plus élevé (p. ex., transferts de fonds)
- Protégez les applications mobiles contre les compromis grâce à la technologie de protection des applications et d'autoprotection des applications (RASP)
Pour plus d'informations sur la façon d'obtenir la signature des transactions, téléchargez ce livre blanc :
https://www.onespan.com/solutions/psd2-which-strong-authentication-and-transaction-solutions-comply
Reconnaissance
Cet article a d'abord été publié par Andreas Gutmann sur Bentham's Gaze, un blog par des chercheurs en sécurité de l'information à l'University College de Londres. Un merci spécial à Vincent Haupert pour ses commentaires sur l'article original. Nous avons depuis mis à jour cet article avec plus d'informations sur la façon dont Secure Code AutoFill pourrait être utilisé dans une attaque, la conférence des développeurs d'Apple WWDC18, et les images intégrées.