Page d'accueil » comment » Pourquoi vous ne devriez pas utiliser SMS pour l'authentification à deux facteurs (et quoi utiliser à la place)

    Pourquoi vous ne devriez pas utiliser SMS pour l'authentification à deux facteurs (et quoi utiliser à la place)

    Les experts en sécurité recommandent l’utilisation d’une authentification à deux facteurs pour sécuriser vos comptes en ligne dans la mesure du possible. De nombreux services utilisent par défaut la vérification par SMS, l'envoi de codes par SMS à votre téléphone lorsque vous essayez de vous connecter. Mais les messages SMS posent de nombreux problèmes de sécurité et constituent l'option la moins sécurisée pour l'authentification à deux facteurs..

    Tout d'abord, les SMS sont encore mieux que l'absence d'authentification à deux facteurs!

    Alors que nous allons exposer le cas contre SMS ici, il est important que nous clarifions d'abord une chose: utiliser SMS est préférable à ne pas utiliser l'authentification à deux facteurs du tout..

    Lorsque vous n'utilisez pas l'authentification à deux facteurs, il vous suffit d'utiliser votre mot de passe pour vous connecter à votre compte. Lorsque vous utilisez l'authentification à deux facteurs avec SMS, quelqu'un doit à la fois acquérir votre mot de passe et accéder à vos messages texte pour pouvoir accéder à votre compte. SMS est beaucoup plus sécurisé que rien du tout.

    Si SMS est votre seule option, veuillez utiliser SMS. Toutefois, si vous souhaitez savoir pourquoi les experts en sécurité recommandent d'éviter les SMS et ce que nous recommandons à la place, lisez la suite..

    Les échanges de cartes SIM permettent aux agresseurs de voler votre numéro de téléphone

    Voici comment fonctionne la vérification par SMS: Lorsque vous essayez de vous connecter, le service envoie un message texte au numéro de téléphone mobile que vous leur avez précédemment fourni. Vous obtenez ce code sur votre téléphone et entrez-le pour vous connecter. Ce code n'est utile que pour un usage unique.

    Cela semble raisonnablement sécurisé. Après tout, vous seul avez votre numéro de téléphone et quelqu'un doit avoir votre téléphone pour voir le code, n'est-ce pas? Malheureusement non.

    Si quelqu'un connaît votre numéro de téléphone et peut accéder à des informations personnelles telles que les quatre derniers chiffres de votre numéro de sécurité sociale - malheureusement, cela est facile à trouver grâce aux nombreuses entreprises et agences gouvernementales qui ont divulgué des données client - elles peuvent contacter votre téléphone société et déplacez votre numéro de téléphone vers un nouveau téléphone. Cette opération s'appelle un «échange de carte SIM» et correspond au processus que vous utilisez lorsque vous achetez un nouvel appareil et que vous y déplacez votre numéro de téléphone. La personne dit qu’elle est vous, fournit les données personnelles et votre opérateur de téléphonie mobile configure son téléphone avec votre numéro de téléphone. Ils recevront les codes de message SMS envoyés à votre numéro de téléphone sur leur téléphone.

    Nous avons vu des cas de ce genre se produire au Royaume-Uni, où des assaillants ont volé le numéro de téléphone d'une victime et l'ont utilisé pour accéder à son compte bancaire. L'État de New York a également mis en garde contre cette arnaque.

    À la base, il s'agit d'une attaque d'ingénierie sociale qui consiste à tromper votre compagnie de téléphone cellulaire. Mais votre opérateur de téléphonie mobile ne devrait pas pouvoir fournir à quelqu'un un accès à vos codes de sécurité en premier lieu!

    Les messages SMS peuvent être interceptés de nombreuses façons

    Il est également possible de surveiller les messages SMS. Les dissidents politiques et les journalistes de pays répressifs voudront être prudents, car le gouvernement pourrait détourner des SMS envoyés par le biais du réseau téléphonique. Cela s'est déjà produit en Iran, où des pirates iraniens auraient compromis un certain nombre de comptes de messagerie de Telegram en interceptant les SMS qui permettaient d'accéder à ces comptes..

    Les pirates ont également abusé des problèmes de SS7, le système de connexion utilisé pour l'itinérance, pour intercepter les messages SMS sur le réseau et les acheminer ailleurs. Les messages peuvent être interceptés de nombreuses autres manières, notamment en utilisant de fausses tours de téléphonie cellulaire. Les messages SMS ne sont pas conçus pour la sécurité et ne doivent pas être utilisés pour cela..

    En d’autres termes, un attaquant sophistiqué disposant de quelques informations personnelles pourrait détourner votre numéro de téléphone pour accéder à vos comptes en ligne, puis utiliser ces comptes pour tenter de vider vos comptes bancaires, par exemple. C'est pourquoi l'Institut national des normes et de la technologie ne recommande plus l'utilisation de messages SMS pour l'authentification à deux facteurs..

    L'alternative: générer des codes sur votre appareil

    Un schéma d'authentification à deux facteurs qui ne repose pas sur SMS est préférable, car la compagnie de téléphonie mobile ne sera pas en mesure de donner à quelqu'un d'autre l'accès à vos codes. L'option la plus populaire pour cela est une application comme Google Authenticator. Cependant, nous recommandons Authy, car il fait tout ce que Google Authenticator fait et plus encore..

    Des applications comme celle-ci génèrent des codes sur votre appareil. Même si un attaquant persuadait votre compagnie de téléphone portable de transférer votre numéro de téléphone sur leur téléphone, ils ne pourraient pas obtenir vos codes de sécurité. Les données nécessaires pour générer ces codes resteraient en sécurité sur votre téléphone.

     

    Vous n'êtes pas obligé d'utiliser des codes, non plus. Des services tels que Twitter, Google et Microsoft testent l'authentification à deux facteurs basée sur une application qui vous permet de vous connecter à un autre appareil en autorisant la connexion à leur application sur votre téléphone..

    Il existe également des jetons matériels physiques que vous pouvez utiliser. De grandes entreprises telles que Google et Dropbox ont déjà implémenté une nouvelle norme pour les jetons d’authentification à deux facteurs basés sur du matériel, nommée U2F. Ce sont tous plus sûrs que de compter sur votre compagnie de téléphone cellulaire et le réseau téléphonique obsolète.

    Si possible, évitez les SMS pour une authentification à deux facteurs. C'est mieux que rien et semble pratique, mais c'est généralement le schéma d'authentification à deux facteurs le moins sécurisé que vous pouvez choisir.

    Malheureusement, certains services vous obligent à utiliser les SMS. Si cela vous inquiète, vous pouvez créer un numéro de téléphone Google Voice et l’attribuer aux services nécessitant une authentification SMS. Vous pouvez ensuite vous connecter à votre compte Google (que vous pouvez protéger avec une méthode d'authentification à deux facteurs plus sécurisée) et voir les messages sécurisés sur le site Web ou l'application Google Voice. Il suffit de ne pas transférer les messages de Google Voice sur votre numéro de téléphone portable réel..