Sécurité

Pourquoi l’authentification en deux étapes par SMS est une mauvaise idée

C’est une bonne pratique de sécurité que de permettre une authentification en deux étapes dans vos comptes : même si quelqu’un découvre votre mot de passe, vous aurez toujours besoin d’un code supplémentaire pour accéder à vos informations.

Dans la plupart des services, l’authentification en deux étapes fonctionne grâce à un code numérique enregistré dans des applications spécifiques telles que Google Authenticator, Authy ou 1Password. Mais beaucoup d’entre eux offrent encore la possibilité de vérifier les SMS ? et les chercheurs en sécurité ont décidé de montrer à quel point il est facile d’intercepter les messages texte de votre opérateur.

Forbes a publié une vidéo d’un groupe de hackers de Positive Technologies (nom familier, mais sans rapport avec l’entreprise française) montrant comment il était possible d’accéder à un portefeuille de bitcoin à Coinbase grâce à la technique d’interception des SMS. La vidéo ne dure que trois minutes :

Tout commence lorsque les chercheurs tentent de récupérer le mot de passe d’un compte Gmail ; ils obtiennent d’abord certaines données (comme le nom et le prénom) de la “victime” et demandent ensuite un SMS avec le code de récupération, qui est intercepté par un outil. Une fois que Google a confirmé l’identité de l’utilisateur, vous pouvez modifier la combinaison du compte.

  Des logiciels malveillants pour Mac qui espionnaient les utilisateurs sont restés inaperçus pendant des années

Et comme il suffit d’accéder à ses e-mails pour attaquer une personne, il suffit de se connecter à Coinbase et d’accéder à “Oublié mon mot de passe”. Le service Cryptomode wallet a envoyé un lien pour changer votre mot de passe, et le changement a été effectué. Compte engagé avec succès.

C’est un peu effrayant, mais c’est tellement vieux que nous ne savons pas pourquoi les entreprises insistent encore pour envoyer des données importantes par SMS. Le réseau SS7 (Signaling System 7), qui est utilisé pour gérer les appels téléphoniques et les SMS, présente des bogues connus (pas tous corrigés par les opérateurs) et peut être à l’origine d’une attaque sur un compte en ligne.

En d’autres termes, les SMS, en plus de ne pas être la chose la plus fiable au monde (certains de mes messages n’arrivent jamais ; ils semblent être bloqués à Curitiba), ne sont pas sûrs.

Il est bon de rappeler que sur Google, vous pouvez supprimer votre numéro de portable de l’authentification en deux étapes. Je le recommande.

  Kaspersky lance un antivirus gratuit pour Windows

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire