Broken Access: On the Challenges of Screen Reader Assisted Two-Factor and Passwordless Authentication

Cette étude présente le cadre d'évaluation AWARE pour démontrer que les méthodes d'authentification actuelles, y compris la double authentification et l'authentification sans mot de passe, présentent des vulnérabilités de sécurité et d'accessibilité critiques lorsqu'elles sont utilisées par des personnes aveugles ou malvoyantes assistées par des lecteurs d'écran.

L'essentiel

Voici une explication simple et imagée de ce papier de recherche, conçue pour être comprise par tous, même sans être expert en informatique.

🎧 Le Titre : "L'Accès Brisé"

Imaginez que le monde numérique est une grande bibliothèque remplie de trésors (vos comptes bancaires, vos emails, vos photos). Pour entrer, vous avez besoin d'une clé. Pour les personnes qui ne voient pas bien ou sont aveugles, cette clé est souvent une voix qui leur lit tout à haute voix : c'est le lecteur d'écran.

Ce papier de recherche pose une question simple mais terrifiante : Et si cette voix, qui est censée être le guide de sécurité, était en fait un piège ?

Les chercheurs ont découvert que les méthodes modernes de sécurité (comme les codes à deux étapes ou les mots de passe sans mot de passe) sont souvent "aveugles" aux besoins des utilisateurs aveugles. Résultat : la sécurité est brisée.

---

🛠️ L'Outil des Chercheurs : "AWARE" (Le Détective)

Pour tester cela, les chercheurs ont créé un outil appelé AWARE.

• L'analogie : Imaginez un détective robotique qui écoute tout ce que dit le lecteur d'écran. Il compare ce qui est écrit sur l'écran avec ce que la voix dit.
• Le but : Il vérifie si la voix dit la vérité, si elle est claire, ou si elle bafouille, se trompe ou cache des informations cruciales. C'est comme un test de réalité pour s'assurer que le guide ne vous fait pas tomber dans un trou.

---

🚨 Les Problèmes Découverts (Les Pièges)

Les chercheurs ont testé des méthodes très populaires (Google, Microsoft, Duo, etc.) et ont trouvé plusieurs failles majeures :

1. La Voix qui Ment (Le Phishing)

• Le problème : Un pirate crée un site web qui ressemble à celui de votre banque, mais avec une petite faute d'orthographe (ex: banque au lieu de banque).
• L'analogie : Pour un humain qui voit, c'est facile à repérer. Mais pour le lecteur d'écran, c'est comme si deux jumeaux identiques parlaient exactement de la même façon. La voix lit le faux site avec la même confiance que le vrai. L'utilisateur aveugle ne sait pas qu'il est en train de donner ses codes à un imposteur.

2. Le Code qui se Perd (Les OTP)

• Le problème : On vous envoie un code secret (ex: 1234).
• L'analogie : Parfois, la voix lit le code comme un nombre entier ("Mille deux cent trente-quatre") au lieu de chiffre par chiffre ("Un, deux, trois, quatre"). C'est comme si quelqu'un vous donnait un code de sécurité en chuchotant un mot complexe au lieu de le dicter lentement. L'utilisateur ne peut pas le saisir correctement.
• Pire encore : Parfois, la voix ne lit rien du tout, ou elle lit le code en même temps qu'une autre instruction, créant un chaos sonore où l'information importante est noyée.

3. L'Intrus dans la Pièce (Le "Shoulder Surfing")

• Le problème : Pour se connecter, l'utilisateur utilise souvent un ordinateur et son téléphone en même temps.
• L'analogie : Imaginez que vous recevez un code secret sur votre téléphone. Si vous avez des écouteurs, c'est sûr. Mais si le code arrive sur le téléphone pendant que vous tapez sur l'ordinateur, et que le téléphone ne fait pas de bruit (ou que l'ordinateur parle fort), un voleur qui passe derrière vous peut entendre le code ou le voir sur l'écran du téléphone. C'est comme si vous lisiez un secret à voix haute dans un train bondé.

4. La Fatigue de la Notification (Le "Fatigue Attack")

• Le problème : Un pirate envoie des dizaines de notifications de connexion à la suite.
• L'analogie : C'est comme quelqu'un qui vous secoue par l'épaule en criant "Acceptez ! Acceptez !" encore et encore. À force d'être fatigué et stressé, l'utilisateur finit par dire "OUI" juste pour que ça s'arrête, sans même regarder de quoi il s'agit. Le pirate gagne.

5. Le Casse-Tête des Clés (FIDO)

• Le problème : Certaines clés de sécurité physiques demandent de toucher un bouton précis.
• L'analogie : La voix dit "Appuyez ici", mais ne précise pas où ni comment. C'est comme si un guide vous disait "Tournez la poignée" sans vous dire si c'est à gauche ou à droite, ou si c'est une poignée ronde ou carrée. L'utilisateur essaie au hasard, et c'est souvent le pirate qui gagne la partie.

---

💡 La Conclusion : Que faire ?

Les chercheurs disent que nous ne pouvons pas simplement dire "c'est trop dur, ne le faites pas". Nous devons réparer la maison.

• Pour les créateurs de logiciels : Il faut écrire des instructions claires, comme si vous parliez à un ami qui ne voit pas. Ne pas utiliser de jargon, et s'assurer que la voix ne se coupe pas.
• Pour les lecteurs d'écran : Ils doivent devenir plus intelligents. Ils devraient pouvoir dire : "Attention ! Ce lien ressemble à celui de votre banque, mais il y a une petite différence !"
• Pour nous tous : Il faut travailler ensemble (sécurité, designers, et personnes en situation de handicap) pour créer des clés qui protègent tout le monde, pas seulement ceux qui voient.

En résumé : Aujourd'hui, la sécurité numérique pour les personnes aveugles est comme un château fort avec une porte ouverte. Ce papier nous montre exactement où sont les fissures pour qu'on puisse enfin les boucher et rendre le monde numérique sûr pour tout le monde.

Résumé technique

1. Problématique

Dans un monde numérique de plus en plus dépendant de l'authentification web, les personnes aveugles ou malvoyantes (estimées à 43 millions d'aveugles et 295 millions de malvoyants dans le monde) utilisent des technologies d'assistance, principalement des lecteurs d'écran (Screen Readers), pour interagir avec les services en ligne.

Cependant, les méthodes d'authentification actuelles (mot de passe, 2FA, authentification sans mot de passe) sont conçues pour des utilisateurs voyants. L'article identifie un vide critique : l'absence d'évaluation de la sécurité et de l'accessibilité de ces méthodes lorsqu'elles sont utilisées via des lecteurs d'écran. Les auteurs soulignent que les limitations d'accessibilité peuvent créer des failles de sécurité majeures, exposant ces utilisateurs à des risques accrus de piratage, de phishing et d'accès non autorisé, tout en rendant parfois l'authentification elle-même impossible à réaliser.

2. Méthodologie : Le Framework AWARE

Pour combler ce vide, les auteurs ont conçu un cadre d'évaluation semi-automatisé appelé AWARE (Authentication Workflows Accessibility Review and Evaluation). Ce cadre sert d'outil préliminaire aux études utilisateurs coûteuses et complexes.

Fonctionnement d'AWARE :

• Approche : Il enregistre les interactions entre le lecteur d'écran et les flux d'authentification.
• Analyse de la « Comprehensibility » (Compréhensibilité) : Le flux audio généré par le lecteur d'écran est converti en texte via un moteur de reconnaissance vocale (IBM Watson). Ce texte est ensuite comparé au texte original de l'interface à l'aide de l'algorithme de similarité cosinus (bibliothèque pysimilar avec TF-IDF) pour mesurer la clarté et l'exactitude des instructions transmises.
• Simulation d'attaques : Le cadre teste la robustesse des systèmes face à des scénarios d'attaques réalistes et documentés dans la littérature.

Configuration de l'étude :
L'évaluation a couvert trois environnements d'interaction :

1. Terminal (PC) uniquement : Utilisation de lecteurs d'écran comme JAWS, NVDA, Dolphin et ChromeVox.
2. Smartphone uniquement : Utilisation de VoiceOver (iOS) et TalkBack (Android).
3. Usage simultané (PC + Smartphone) : Scénario courant pour les méthodes 2FA où l'utilisateur se connecte sur un PC et reçoit un code sur son téléphone.

Échantillon :

• Lecteurs d'écran : 6 au total (JAWS, NVDA, Dolphin, ChromeVox, VoiceOver, TalkBack).
• Méthodes d'authentification : 12 variantes incluant des codes OTP (SMS, appels, applications), des notifications Push, des clés de sécurité FIDO (Titan, Yubikey) et des méthodes sans mot de passe (Microsoft Select-Confirm).

3. Contributions Principales

1. Modélisation de l'« Authentification Assistée par Lecteur d'Écran » : Première étude systématique modélisant les défis de sécurité et d'accessibilité spécifiques aux utilisateurs aveugles lors de l'utilisation de méthodes d'authentification modernes (2FA, MFA, FIDO).
2. Le Framework AWARE : Un outil méthodologique qualitatif et quantitatif permettant aux concepteurs d'identifier précocement les failles d'accessibilité et de sécurité avant le déploiement ou les tests utilisateurs à grande échelle.
3. Évaluation Systématique : Une analyse approfondie de 12 méthodes d'authentification réelles, révélant des vulnérabilités critiques souvent ignorées par les fournisseurs de services.

4. Résultats et Découvertes Clés

Les résultats mettent en évidence des faiblesses majeures dans tous les scénarios testés.

A. Problèmes d'Accessibilité et de Communication

• Faible « Comprehensibility » : Alors que les lecteurs d'écran comprennent environ 74 % du texte général, leur taux de compréhension chute drastiquement pour les instructions d'authentification (moins de 50 % dans 22 des 33 combinaisons testées).
• Incohérences de Communication (CBI) : Conflits entre les instructions du lecteur d'écran et d'autres événements (ex: un appel téléphonique entrant pour un OTP qui coupe le flux audio du lecteur d'écran).
• Prononciation des Codes (NPO) : Certains lecteurs lisent les codes OTP comme des nombres entiers (ex: « mille deux cent trente-quatre » pour « 1234 ») au lieu de les énoncer chiffre par chiffre, rendant l'entrée impossible ou très lente.
• Éléments Inaccessibles (UCEOB/UCSP) : Certains lecteurs (comme ChromeVox) ne peuvent pas lire les messages de sécurité générés par le système d'exploitation (fenêtres de sécurité Windows pour FIDO), rendant l'authentification impossible.

B. Vulnérabilités de Sécurité

L'étude a démontré que les utilisateurs aveugles sont plus vulnérables aux attaques suivantes :

• Hameçonnage (Phishing) : Les lecteurs d'écran ne parviennent pas à distinguer les URLs frauduleuses des légitimes (ex: bankofamerica vs bankoffamerica sont prononcés de manière identique). Les utilisateurs ne peuvent pas vérifier visuellement le lien.
• Fatigue de Notification (MFA Spamming) : Les attaquants inondent l'utilisateur de notifications Push jusqu'à ce qu'il accepte par épuisement mental. Les lecteurs d'écran ne signalent pas toujours la nature répétitive ou malveillante de ces notifications.
• Connexion Concurrente : Un attaquant peut lancer une session de connexion simultanée. Sur certains systèmes (ex: Duo Push), la notification de l'attaquant écrase celle de la victime, et le lecteur d'écran lit la dernière notification reçue, trompant l'utilisateur.
• Surveillance Épaule (Shoulder Surfing) : Dans les scénarios mixtes (PC + Smartphone), si l'utilisateur n'utilise pas de casque sur les deux appareils, un attaquant peut entendre le code OTP lu à voix haute.
• Attaques FIDO Spécifiques :
  • Overlay : Des fausses informations peuvent être superposées au contenu légitime, que certains lecteurs lisent comme étant vraies.
  • Downgrading : Les attaquants peuvent forcer une rétrogradation vers une méthode 2FA plus faible (OTP) en exploitant l'incapacité du lecteur à détecter les liens de phishing ou les fausses invites.

C. Performances par Méthode

• FIDO (Clés de sécurité) : Bien que prometteur, il souffre de problèmes de lecture des invites de sécurité système. NVDA offre la meilleure protection contre les attaques croisées (cross-service), mais d'autres lecteurs échouent.
• Push Notifications : Très vulnérables aux attaques par fatigue et par connexion concurrente sur VoiceOver et TalkBack.
• OTP (SMS/Appels) : Souvent inaccessibles ou dangereux en raison de la prononciation incorrecte des chiffres ou des conflits avec les appels téléphoniques.

5. Signification et Recommandations

Signification :
Cette recherche démontre que les méthodes d'authentification modernes, bien que sécurisées pour les utilisateurs voyants, introduisent des risques de sécurité systémiques pour les utilisateurs aveugles. L'accessibilité n'est pas seulement une question de confort, mais un impératif de sécurité. L'absence de conception inclusive crée des vecteurs d'attaque exploitables.

Recommandations pour les Concepteurs :

1. Intégration d'AWARE : Utiliser le framework AWARE comme étape préliminaire obligatoire avant les tests utilisateurs pour détecter les failles.
2. Clarté des Instructions : Fournir des instructions écrites concises et compatibles avec les lecteurs d'écran à chaque étape.
3. Gestion des Conflits : Éviter de déclencher des appels téléphoniques ou des notifications sonores pendant que le lecteur d'écran lit des instructions critiques.
4. Amélioration des Lecteurs d'Écran :
   • Intégrer des détecteurs de phishing et d'URL malveillantes.
   • Améliorer la détection des overlays et des fenêtres de sécurité système.
   • Avertir les utilisateurs en cas de fatigue de notification ou de tentatives de connexion concurrentes.
5. Meilleure Pratique Actuelle : L'étude suggère que l'utilisation de FIDO avec le lecteur d'écran NVDA offre actuellement le meilleur compromis entre accessibilité et sécurité, bien que des améliorations soient encore nécessaires.

Conclusion :
L'article appelle à une collaboration interdisciplinaire entre les experts en sécurité, les services pour les personnes handicapées et les spécialistes de l'interaction homme-machine pour développer des systèmes d'authentification véritablement sécurisés et accessibles pour tous.