Qu’est-ce que 2FA

2FA signifie Two Factor Authentication (authentification à deux facteurs). Il s’agit d’un moyen permettant de renforcer un processus d’authentification.
Un exemple de ce type d’authentification se trouve sur de nombreux sites de banques, sur les fonctionnalités critiques telles que la réalisation de virements bancaires. Suivant votre banque, celle-ci peut vous envoyer un code via SMS, que vous devez recopier sur le site web afin de confirmer le virement.

Le second facteur utilisé peut être un téléphone, un objet physique en votre possession, une caractéristique physique (biométrie) ou un secret que vous seul connaissez.

Un process 2FA comprend quelques inconvénients : il rend le processus d’authentification plus complexe, et le second facteur doit impérativement être “disponible”, ce qui peut constituer un problème avec les téléphones mobiles. Batterie déchargée, mauvaise couverture réseau ou tout autre problème peuvent empêcher le processus de fonctionner correctement.

La sécurité peut impliquer de lourds investissements en termes de développement web.
Mais certains petits ajustements peuvent aussi vous permettre une avancée significative en matière de sécurité. Ces modifications sont minimes en termes de code et de configuration, mais elles requièrent une bonne analyse et une validation avant d’être implémentées. Il s’agit des headers HTTP.

HTTPS fait de plus en plus parler de lui, notamment depuis la faille Heartbleed largement médiatisée en 2014.
Il fût un temps où HTTPS était réservé aux transactions très sensibles, comme les transactions bancaires.

On considère aujourd’hui qu’HTTPS est nécessaire dès lors qu’un utilisateur est authentifié sur un site internet, ce afin de protéger sa session web et ses identifiants de connexion.

Cette faille est classée n°10 sur l’OWASP Top 10, c’est donc la dernière du classement. Ce n’est pas celle jugée comme étant la plus importante par l’OWASP, mais ce n’est pas pour autant qu’il faut l’ignorer, bien au contraire.
Ce type de vulnérabilité permet en effet d’effectuer des attaques de type phishing avec plus d’efficacité. Elle permet aussi d’accéder à des ressources non autorisées.

Dans la continuité de notre série dédiée à la compréhension des vulnérabilités web, ce 6ème épisode nous parle d’exposition de données sensibles.
Comme pour les autres articles de cette série, nous ne plongerons pas des les détails techniques (il faudrait y consacrer un nombre conséquent de pages), nous ne parlerons donc pas de Cryptographie.
Ce type de vulnérabilité est classé au sixième rang de l’OWASP Top 10 2013. Ces vulnérabilités sont assez difficiles à exploiter par les pirates; mais l’impact est tellement sévère qu’il est très important de correctement les comprendre et de faire des choix d’architecture appropriés.