in

Pourquoi vous ne devriez pas utiliser SMS pour l’authentification à deux facteurs (et quoi utiliser à la place)

Les experts en sécurité recommandent d’utiliser l’authentification à deux facteurs pour sécuriser vos comptes en ligne dans la mesure du possible. De nombreux services utilisent par défaut la vérification par SMS, l’envoi de codes par SMS à votre téléphone lorsque vous essayez de vous connecter. Mais les SMS présentent de nombreux problèmes de sécurité et constituent l’option la moins sécurisée pour l’authentification à deux facteurs.

Tout d’abord: les SMS sont toujours mieux que pas d’authentification à deux facteurs du tout!

Alors que nous allons exposer ici les arguments contre les SMS, il est important de clarifier d’abord une chose: il vaut mieux utiliser SMS que ne pas utiliser du tout l’authentification à deux facteurs.

Lorsque vous n’utilisez pas l’authentification à deux facteurs, quelqu’un n’a besoin que de votre mot de passe pour se connecter à votre compte. Lorsque vous utilisez l’authentification à deux facteurs avec SMS, quelqu’un devra à la fois acquérir votre mot de passe et accéder à vos messages texte pour accéder à votre compte. Le SMS est bien plus sûr que rien du tout.

Si le SMS est votre seule option, veuillez utiliser le SMS. Cependant, si vous souhaitez savoir pourquoi les experts en sécurité recommandent d’éviter les SMS et ce que nous recommandons à la place, lisez la suite.

Les swaps SIM permettent aux attaquants de voler votre numéro de téléphone

Voici comment fonctionne la vérification par SMS: lorsque vous essayez de vous connecter, le service envoie un SMS au numéro de téléphone mobile que vous lui avez précédemment fourni. Vous obtenez ce code sur votre téléphone et saisissez-le pour vous connecter. Ce code n’est valable que pour une seule utilisation.

Cela semble raisonnablement sûr. Après tout, vous seul avez votre numéro de téléphone et quelqu’un doit avoir votre téléphone pour voir le code, n’est-ce pas? Malheureusement non.

Si quelqu’un connaît votre numéro de téléphone et peut accéder à des informations personnelles telles que les quatre derniers chiffres de votre numéro de sécurité sociale (malheureusement, cela peut être facile à trouver grâce aux nombreuses entreprises et agences gouvernementales qui ont divulgué des données client), ils peuvent contacter votre téléphone société et déplacez votre numéro de téléphone vers un nouveau téléphone. Ceci est connu sous le nom de « Échange de carte SIM« , Et c’est le même processus que vous effectuez lorsque vous achetez un nouvel appareil et que vous y transférez votre numéro de téléphone. La personne dit qu’elle est vous, fournit les données personnelles et votre opérateur de téléphonie mobile configure son téléphone avec votre numéro de téléphone. Ils recevront les codes de message SMS envoyés à votre numéro de téléphone sur leur téléphone.

Nous avons vu des rapports sur ce qui se passe au Royaume-Uni, où les attaquants ont volé le numéro de téléphone d’une victime et l’ont utilisé pour accéder au compte bancaire de la victime. L’État de New York a également averti à propos de cette arnaque.

À la base, il s’agit d’une attaque d’ingénierie sociale qui consiste à tromper votre opérateur de téléphonie mobile. Mais votre opérateur de téléphonie mobile ne devrait pas être en mesure de fournir à quelqu’un l’accès à vos codes de sécurité en premier lieu!

Les messages SMS peuvent être interceptés de plusieurs manières

Il est également possible d’espionner les messages SMS. Les dissidents politiques et les journalistes des pays répressifs voudront faire attention, car le gouvernement pourrait détourner les messages SMS lorsqu’ils sont envoyés via le réseau téléphonique. Cela s’est déjà produit en L’Iran, où des pirates iraniens auraient compromis un certain nombre de comptes de messagerie Telegram en interceptant les SMS donnant accès à ces comptes.

Les attaquants ont également abusé problèmes dans SS7, le système de connexion utilisé pour l’itinérance, pour intercepter les SMS sur le réseau et les acheminer ailleurs. Il existe de nombreuses autres façons d’intercepter les messages, notamment en utilisant de fausses tours de téléphonie cellulaire. Les messages SMS n’ont pas été conçus pour la sécurité et ne doivent pas être utilisés pour cela.

En d’autres termes, un attaquant sophistiqué disposant d’un peu d’informations personnelles pourrait détourner votre numéro de téléphone pour accéder à vos comptes en ligne, puis utiliser ces comptes pour tenter de vider vos comptes bancaires, par exemple. C’est pourquoi l’Institut national des normes et de la technologie est ne plus recommander l’utilisation de messages SMS pour l’authentification à deux facteurs.

L’alternative: générer des codes sur votre appareil

Un système d’authentification à deux facteurs qui ne repose pas sur les SMS est supérieur, car la compagnie de téléphonie cellulaire ne pourra pas donner à quelqu’un d’autre l’accès à vos codes. L’option la plus populaire pour cela est une application comme Google Authenticator. Cependant, nous recommandons Authy, car il fait tout ce que fait Google Authenticator et plus encore.

Des applications comme celle-ci génèrent des codes sur votre appareil. Même si un attaquant a amené votre opérateur de téléphonie mobile à transférer votre numéro de téléphone sur son téléphone, il ne pourrait pas obtenir vos codes de sécurité. Les données nécessaires pour générer ces codes resteraient en toute sécurité sur votre téléphone.

Vous n’êtes pas obligé d’utiliser des codes non plus. Des services comme Twitter, Google et Microsoft testent l’authentification à deux facteurs basée sur les applications qui vous permet de vous connecter sur un autre appareil en autorisant la connexion dans leur application sur votre téléphone.

Il existe également des jetons matériels physiques que vous pouvez utiliser. De grandes entreprises comme Google et Dropbox ont déjà mis en œuvre une nouvelle norme pour les jetons d’authentification à deux facteurs basés sur le matériel, nommée U2F. Celles-ci sont toutes plus sûres que de compter sur votre compagnie de téléphonie cellulaire et le réseau téléphonique obsolète.

Si possible, évitez les SMS pour l’authentification à deux facteurs. C’est mieux que rien et cela semble pratique, mais c’est généralement le schéma d’authentification à deux facteurs le moins sécurisé que vous puissiez choisir.

Malheureusement, certains services vous obligent à utiliser les SMS. Si cela vous inquiète, vous pouvez créer un numéro de téléphone Google Voice et le donner à des services qui nécessitent une authentification par SMS. Vous pouvez ensuite vous connecter à votre compte Google, que vous pouvez protéger avec une méthode d’authentification à deux facteurs plus sécurisée, et voir les messages sécurisés sur le site Web ou l’application Google Voice. Ne transférez simplement pas les messages de Google Voice vers votre numéro de téléphone portable.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les faux profils LinkedIn sont impossibles à détecter

Les faux profils LinkedIn sont impossibles à détecter

Comment regarder Twitch sur Roku

Comment regarder Twitch sur Roku