Non, le SMS n’est pas le moyen d’authentification le plus sécurisé share
back to to

Non, le SMS n'est pas le moyen d'authentification le plus sécurisé

Wired 12 juillet 2016
Si l'authentification à deux facteurs est devenue la norme pour une grande partie des services web, les codes envoyés par SMS en plus d'un mot de passe ne sont pas (forcément) la solution la plus sécurisée. Explications avec Wired.

En juin 2016, le compte Twitter de l’activiste de Black Lives Matter, DeRay McKesson, a été hacké afin de tweeter des messages pro-Trump, malgré le processus d’authentification à deux facteurs mis en place par le réseau. Les hackers avaient alors appelé la compagnie téléphonique de McKesson, et s’étaient fait passer pour lui afin de la convaincre de rediriger les SMS de l’activiste vers une autre carte SIM détenue par les hackers.

En Russie ou encore en Iran, les comptes Telegram d’activistes politiques ont quant à eux été détournés par le même procédé, note Wired. Qu’il s’agisse de passer par une compagnie de téléphonie mobile ou par le biais de l’ingénierie sociale, les risques sont là : IMSI catchers et autres failles dans le protocole SS7, qui autorisent un réseau à communiquer avec un autre, sont autant de brèches – trop – facilement exploitables :

« N’importe quel réseau peut dire à un autre que son abonné est désormais disponible à tel numéro, et jusqu’à ce que votre téléphone dise le contraire, tout appel et tout SMS sont détournés sur cet autre numéro appartenant à un autre réseau, explique Karsten Nohl, chef du Security Research Lab. C’est tellement simple que c’est presque embarrassant d’appeler cela du hacking. »

Contacté par Wired, Twitter, qui offre toujours un processus d’authentification à deux facteurs basé sur les SMS, indique « explorer des procédés additionnels afin de sécuriser les comptes de [ses] utilisateurs ». Et l’attaque sur le compte de McKesson pourrait peut-être bien accélérer ce processus.

Plus d’informations par ici.

Chaque semaine,
recevez les immanquables
par email