Une étude pointe les faiblesses de cette fonction pourtant dédiée à renforcer la sécurité des comptes en ligne.
L’authentification à plusieurs facteurs est désormais monnaie courante sur internet. Souvent, en marge du mot de passe, cette vérification passe par l’envoi d’un SMS sur le smartphone de l’utilisateur.
Or, selon PC Mag qui rapporte les propos de Thomas Olofsson et Mikael Byström, respectivement Responsable technique et Responsable de l’Open-Source Intelligence chez Black Hat, ce moyen d’authentification ne serait pas sécurisé.
Les SMS, une technologie obsolète
Il est de notoriété publique que les mots de passe sont peu sécurisés pour accéder à un compte. Aussi, même s’ils se sont renforcés avec le temps, la double authentification s’est progressivement démocratisée, au point de devenir un incontournable.
Dans ce cadre, la plupart des sites internet optent pour le SMS comme facteur secondaire, car il permet de vérifier que c’est bien le propriétaire de la ligne qui tente de s’authentifier.
L’équipe de Black Hat précise que cette démarche, qui semble anodine de prime abord, s’avère en réalité relativement risquée.
Ils rappellent combien les SMS ne sont par définition pas sécurisés. Ce format de communication est très ancien et peut facilement être intercepté par des pirates. « Combien d’entre vous ont reçu un SMS non sollicité la semaine dernière ? Vos numéros de téléphone sont de plus en plus divulgués », alerte Thomas Olofsson.
C’est sans compter les campagnes de smishing, qui consistent à envoyer des SMS aux utilisateurs pour les rediriger vers des sites malveillants et ainsi voler leurs données personnelles, notamment.
Thomas Olofsson précise que « les informations d’identification divulguées étaient auparavant le nom d’utilisateur et le mot de passe« . Et d’ajouter : « Désormais, si vous avez un nom d’utilisateur, un mot de passe piraté et le numéro de téléphone lié, le 2FA [l’authentification à double facteur, ndlr] a des chances d’être craqué ».
En outre, les spécialistes de Black Hat indiquent que lorsque les pirates n’ont pas l’ensemble de ces données, ils passent généralement par le processus de récupération de compte, qu’ils jugent souvent « trop laxiste« .
Tout sauf le SMS (lorsque c’est possible)
Au regard des conclusions des équipes de Black Hat, il serait préférable de miser sur d’autres moyens pour s’authentifier.
Parmi ces alternatives figurent notamment les applications dédiées telles que Google Authentificator ou encore Authy, qui permettent justement d’éviter une double authentification par SMS tout en garantissant une identification sécurisée.
En complément, lorsque ce choix est nativement proposé par les éditeurs pour la double authentification, la biométrie peut aussi intervenir en remplacement du SMS.
À noter qu’Apple, Microsoft et Google travaillent main dans la main pour accéder à un meilleur niveau de sécurité lors de l’authentification. Ils veulent en finir avec les mots de passe et privilégient à ce titre la reconnaissance faciale et la lecture d’empreinte digitale. Un tel système commence progressivement à être déployé et devrait à l’avenir faire figure de référence.
En attendant son déploiement à grande échelle, Google veut définitivement abolir le SMS et le MMS pour les mêmes raisons et table quant à lui sur le RCS, un protocole de communication nettement plus sécurisé et plus complet.
