Opinions
L’opérateur mobile EE échangeait des mot de passe sur… Twitter
Par La rédaction, publié le 10 janvier 2013
Le lièvre levé par Troy Hunt à la veille de la nouvelle année a dû donner des sueurs froides au management d’EverythingEverywhere (EE), la coentreprise issue de la fusion d’Orange et T-Mobile au Royaume-Uni, qui est devenue le premier opérateur mobile.
Le lièvre levé par Troy Hunt à la veille de la nouvelle année a dû donner des sueurs froides au management d’EverythingEverywhere (EE), la coentreprise issue de la fusion d’Orange et T-Mobile au Royaume-Uni, qui y est maintenant le premier opérateur mobile : le support technique d’EE est accessible via les comptes Twitter, sur lesquels les techniciens du support n’hésitaient pas à demander leurs mots de passe aux utilisateurs en quête d’assistance, afin de vérifier leur identité.
L’idée même d’envoyer son mot de passe par messagerie instantanée à un support technique quel qu’il soit devrait alerter un utilisateur même peu averti. Et bien entendu, le fait pour un support technique de demander ce mot de passe de cette manière est une pratique issue d’un passé qu’on aurait espéré révolu. L’histoire ne s’arrête pas là : des spécialistes de la sécurité ont aussitôt créé des comptes Twitter jumeaux du compte légitime et vérifié d’EE, et se sont arrangés pour y faire venir les utilisateurs demandant du support, afin de démontrer combien il leur était simple de se faire passer pour le vrai support EE, et de pouvoir obtenir les mots de passe des utilisateurs habitués à cette pratique par EE.
On pourra appeler ceci du « social engineering » et accuser le manque de méfiance des utilisateurs. Mais n’est-ce pas aussi le rôle des fournisseurs de service de protéger leurs clients en palliant ce manque de méfiance par des techniques de sécurité adéquates ? Ce problème met en lumière l’unilatéralité de la sécurité vue par les fournisseurs de services. L’important étant d’empêcher l’accès au service hors du contexte d’un compte existant, on oublie de protéger l’utilisateur contre le vol et l’usurpation de son compte, voire, avec l’exemple d’EE, on facilite même la tâche aux malfaiteurs.
Vers une authentification personnalisée ?
Plusieurs solutions existent : authentification mutuelle, mots de passe à usage unique utilisés dans les deux sens, canaux sécurisés de bout en bout via SSL/TLS avec certificat serveur et client, canaux exploitant la sécurité du lien mobile, single-sign-on et fédérations d’identité sont quelques-unes des briques de base permettant de sceller une confiance mutuelle entre l’utilisateur et son fournisseur de service.
Mieux encore, à l’heure de l’application pour chaque chose, pourquoi ne pas fournir à l’utilisateur une application personnalisée, multisupports, qui rendrait cette authentification transparente et ne mettrait à contribution l’utilisateur que pour lancer la procédure, sans le forcer à retenir et protéger des secrets ?
Cela fonctionnerait bien sûr dans le cas d’EE, mais pourrait en général éliminer le phishing de données bancaires et autres, dès le moment où l’utilisateur s’habituera à ne plus avoir à gérer et divulguer de secrets lui-même. Si le facteur humain est si dangereux, il revient aux ingénieurs de concevoir des systèmes simples qui minimisent le risque potentiel qui lui est lié. Voici, s’il était besoin, une bonne résolution pour la profession en cette nouvelle année !