16Jul
Les experts en sécurité recommandent d'utiliser l'authentification à deux facteurs pour sécuriser vos comptes en ligne dans la mesure du possible. De nombreux services par défaut à la vérification par SMS, l'envoi de codes par SMS sur votre téléphone lorsque vous essayez de vous connecter. Mais les messages SMS ont beaucoup de problèmes de sécurité, et sont l'option la moins sécurisée pour l'authentification à deux facteurs.
Première chose: le SMS est toujours mieux que pas d'authentification à deux facteurs du tout!
Alors que nous allons exposer les arguments contre les SMS ici, il est important de clarifier une chose: il vaut mieux utiliser SMS que de ne pas utiliser d'authentification à deux facteurs.
Lorsque vous n'utilisez pas l'authentification à deux facteurs, quelqu'un n'a besoin que de votre mot de passe pour vous connecter à votre compte. Lorsque vous utilisez l'authentification à deux facteurs avec SMS, quelqu'un doit à la fois acquérir votre mot de passe et accéder à vos messages texte pour accéder à votre compte. Le SMS est beaucoup plus sûr que rien du tout.
Si SMS est votre seule option, veuillez utiliser SMS.Cependant, si vous voulez savoir pourquoi les experts en sécurité recommandent d'éviter les SMS et ce que nous recommandons à la place, lisez la suite.
SIM Swaps permet aux attaquants de voler votre numéro de téléphone
Voici comment fonctionne la vérification par SMS: Lorsque vous essayez de vous connecter, le service envoie un message texte au numéro de téléphone mobile que vous lui avez fourni précédemment. Vous obtenez ce code sur votre téléphone et entrez-le pour vous connecter. Ce code n'est bon que pour un usage unique.
Cela semble raisonnablement sécurisé.Après tout, vous seul avez votre numéro de téléphone et quelqu'un doit avoir votre téléphone pour voir le code, n'est-ce pas? Malheureusement non.
Si quelqu'un connaît votre numéro de téléphone et peut accéder à des informations personnelles comme les quatre derniers chiffres de votre numéro de sécurité sociale, malheureusement, cela est facile à trouver grâce aux nombreuses entreprises et agences gouvernementales qui ont divulgué des données client.compagnie de téléphone et déplacez votre numéro de téléphone vers un nouveau téléphone. C'est ce que l'on appelle un «échange de carte SIM». Il s'agit du même processus que vous effectuez lorsque vous achetez un nouvel appareil et que vous y déplacez votre numéro de téléphone. La personne dit qu'ils sont vous, fournit les données personnelles, et votre compagnie de téléphone cellulaire met en place son téléphone avec votre numéro de téléphone. Ils vont obtenir les codes de message SMS envoyés à votre numéro de téléphone sur leur téléphone.
Nous avons vu des rapports sur ce phénomène au Royaume-Uni, où des agresseurs ont volé le numéro de téléphone d'une victime et l'ont utilisé pour accéder au compte bancaire de la victime. L'Etat de New York a également mis en garde contre cette arnaque.
À la base, il s'agit d'une attaque d'ingénierie sociale qui consiste à tromper votre compagnie de téléphone cellulaire. Mais votre compagnie de téléphonie cellulaire ne devrait pas être en mesure de fournir à quelqu'un l'accès à vos codes de sécurité en premier lieu!
SMS peuvent être interceptés de plusieurs façons
Il est également possible d'espionner les messages SMS.Les dissidents politiques et les journalistes dans les pays répressifs voudront être prudents, car le gouvernement pourrait détourner les messages SMS lorsqu'ils sont envoyés via le réseau téléphonique. Cela s'est déjà produit en Iran, où des pirates informatiques iraniens auraient piraté un certain nombre de comptes de messagerie Telegram en interceptant les messages SMS donnant accès à ces comptes.
Les attaquants ont également abusé des problèmes de SS7, le système de connexion utilisé pour l'itinérance, pour intercepter les messages SMS sur le réseau et les acheminer ailleurs. Il existe de nombreuses autres façons d'intercepter les messages, notamment en utilisant de fausses antennes de téléphonie cellulaire. Les messages SMS n'ont pas été conçus pour des raisons de sécurité et ne devraient pas être utilisés pour cela.
En d'autres termes, un attaquant sophistiqué avec un peu d'informations personnelles pourrait pirater votre numéro de téléphone pour accéder à vos comptes en ligne et ensuite utiliser ces comptes pour tenter d'épuiser vos comptes bancaires, par exemple. C'est pourquoi l'Institut national des normes et de la technologie ne recommande plus l'utilisation de messages SMS pour l'authentification à deux facteurs.
L'alternative: Générer des codes sur votre appareil
Un schéma d'authentification à deux facteurs qui ne repose pas sur SMS est supérieur, car la compagnie de téléphone cellulaire ne sera pas en mesure de donner à quelqu'un d'autre l'accès à vos codes. L'option la plus populaire pour cela est une application comme Google Authenticator. Cependant, nous recommandons Authy, car il fait tout ce que fait Google Authenticator et plus encore.
Les applications comme celle-ci génèrent des codes sur votre appareil. Même si un attaquant a trompé votre compagnie de téléphone portable en déplaçant votre numéro de téléphone sur leur téléphone, ils ne pourraient pas obtenir vos codes de sécurité.Les données nécessaires pour générer ces codes resteront en sécurité sur votre téléphone.
Vous n'avez pas non plus besoin d'utiliser des codes. Des services tels que Twitter, Google et Microsoft testent l'authentification à deux facteurs basée sur l'application, qui vous permet de vous connecter à un autre appareil en autorisant la connexion dans leur application sur votre téléphone.
Il existe également des jetons de matériel physique que vous pouvez utiliser. De grandes entreprises comme Google et Dropbox ont déjà mis en place une nouvelle norme pour les jetons d'authentification à deux facteurs matériels, appelée U2F.Ceux-ci sont tous plus sûrs que de compter sur votre compagnie de téléphone cellulaire et le réseau téléphonique désuet.
Si possible, évitez les SMS pour l'authentification à deux facteurs. C'est mieux que rien et semble pratique, mais c'est généralement le schéma d'authentification à deux facteurs le moins sûr que vous pouvez choisir.
Malheureusement, certains services vous forcent à utiliser SMS.Si cela vous inquiète, vous pouvez créer un numéro de téléphone Google Voice et l'attribuer aux services nécessitant une authentification par SMS.Vous pouvez ensuite vous connecter à votre compte Google, que vous pouvez protéger avec une méthode d'authentification à deux facteurs plus sécurisée, et consulter les messages sécurisés dans le site Web ou l'application Google Voice. Ne transférez simplement pas les messages de Google Voice vers votre numéro de téléphone portable.
