La mise en place d'une authentification à double facteur (MFA ou 2FA) est aujourd'hui une évidence pour tout système informatique. Cependant, une erreur commune consiste à croire que toutes les méthodes de MFA se valent. Si l'envoi d'un code à 6 chiffres par SMS est tolérable pour un compte grand public, cette méthode est considérée comme dangereuse et obsolète lorsqu'il s'agit de protéger les accès d'un Centre d'Opérations de Sécurité (SOC).
Pour garantir l'intégrité de la plateforme qui orchestre la réponse aux incidents de dizaines d'entreprises, les protocoles cryptographiques hors ligne sont la seule voie viable. Décryptons les failles mortelles de l'authentification par SMS et pourquoi le standard TOTP (Time-Based One-Time Password) est le socle de sécurité de l'orchestrateur Akuity.
Les trois failles fatales de l'authentification par SMS
Depuis plusieurs années, les agences de cybersécurité (dont le NIST) déconseillent fortement l'utilisation des SMS pour sécuriser des accès critiques. L'acheminement d'un SMS repose sur les réseaux de télécommunication, qui n'ont pas été conçus avec la sécurité comme priorité absolue.
- Le SIM Swapping (Échange de carte SIM) : C'est l'attaque la plus courante. Un pirate appelle l'opérateur téléphonique de l'analyste SOC, se fait passer pour lui avec quelques données personnelles (ingénierie sociale), et déclare la perte de sa carte SIM. L'opérateur transfère le numéro de téléphone sur une nouvelle carte SIM contrôlée par le pirate. Dès lors, le pirate reçoit tous les codes MFA par SMS à la place de l'analyste.
- L'interception SS7 : Le protocole SS7 (Signaling System 7), utilisé par les opérateurs mondiaux pour router les appels et les SMS, souffre de vulnérabilités endémiques. Des attaquants étatiques ou des groupes cybercriminels très organisés peuvent intercepter silencieusement les SMS en transit sur le réseau sans jamais toucher au téléphone de la victime.
- Le Phishing automatisé : Contrairement à un mot de passe classique, le code SMS a une durée de vie. Les pirates ont donc créé des faux portails de connexion (Phishing) qui demandent le mot de passe, puis affichent instantanément une fausse page demandant le code SMS. L'utilisateur le tape, et le pirate le réutilise en temps réel sur le vrai site.
La supériorité cryptographique du TOTP
Pour éliminer ces vecteurs d'attaque, la plateforme Akuity SOC refuse catégoriquement l'usage des SMS et impose l'enrôlement TOTP (Time-Based One-Time Password) pour valider le niveau d'assurance AAL2 de ses analystes.
Comment fonctionne le TOTP ?
Le protocole TOTP s'appuie sur des applications d'authentification tierces réputées, comme Google Authenticator, Microsoft Authenticator ou Authy.
Lors de sa première connexion à Akuity, l'analyste se rend dans l'onglet des réglages de sécurité (géré par le composant SecuritySettingsForm.tsx). Le serveur génère une clé cryptographique secrète (Seed) unique pour cet utilisateur et l'affiche sous la forme d'un QR Code.
Lorsque l'analyste scanne ce QR Code, la clé secrète est stockée physiquement dans la puce de sécurité de son smartphone. Dès lors, le smartphone et le serveur Supabase d'Akuity partagent ce secret.
L'avantage du hors-ligne (Offline)
À chaque tentative de connexion, l'application smartphone utilise la clé secrète et l'heure actuelle (d'où le nom Time-Based) pour calculer une formule mathématique produisant un code à 6 chiffres valide pendant 30 secondes.
L'immense avantage de cette méthode est qu'aucune donnée ne transite par le réseau. Le smartphone n'a pas besoin de carte SIM, ni de réseau Wi-Fi, ni de réseau cellulaire pour générer le code. Il n'y a donc aucun SMS à intercepter, et le SIM Swapping devient totalement inopérant.
Traçabilité et Gouvernance de l'état MFA
La robustesse d'un système se mesure aussi à sa capacité de gouvernance. Que se passe-t-il si un analyste décide de désactiver son MFA ?
Dans Akuity SOC, l'état de l'authentification multifacteur est rigoureusement surveillé par la base de données.
- La rétrogradation immédiate : Si un utilisateur désactive son MFA (fonction
unenrollMFA), son cookie de session est instantanément rétrogradé au niveau d'assurance AAL1. Il perd immédiatement tous ses accès au Cockpit opérationnel. - Le Trigger SQL de sécurité : Un déclencheur (Trigger) en base de données détecte la suppression du facteur TOTP et bascule la colonne
mfa_enabledàfalsedans la table des profils. Les administrateurs de l'espace de travail sont instantanément conscients qu'un compte n'est plus sécurisé. - Le log d'Audit SOC 2 : L'activation et la désactivation du MFA génèrent des logs imputables (
MFAENROLLINITIATED,MFA_ENABLED). Si un pirate réussissait d'une manière ou d'une autre à contourner la sécurité pour désactiver le MFA, cette action lèverait une alerte critique immédiate.
Conclusion : Verrouillez la porte d'entrée
Votre plateforme de réponse aux incidents (SOAR) détient les clés de votre infrastructure Microsoft et de celle de vos clients. Ne confiez pas la protection de ce coffre-fort à un SMS vulnérable et transité en clair par des opérateurs télécoms. L'adoption du standard TOTP est l'unique bouclier garantissant que la personne qui ordonne l'isolation d'un serveur est bien l'analyste habilité qui se trouve devant son écran.
Renforcez les accès de votre équipe de sécurité. > Découvrez comment le module de Gestion du MFA et du TOTP d'Akuity SOC applique les plus hauts standards d'authentification.