Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets

Mobilité : Les dangers de l’authentification par SMS
Posté par JulieM le 7/9/2018 13:30:00 Articles du même auteur

En juin 2018, le site américain Reddit, le plus gros forum Internet du monde, avec 234 millions de visiteurs uniques par mois, et un des 3 sites les plus consultés aux Etats Unis, a subi un piratage de grande ampleur.

Les attaquants ont eu accès à un gros volume de données, dont des adresses électroniques, des codes source, des fichiers internes et la sauvegarde d’une base de données d’utilisateurs datant de 2007.

Un piratage malheureusement plutôt banal, mais qui l’est moins par la méthode utilisée par les pirates pour pénétrer au sein des systèmes de Reddit. 

En effet, ceux-ci ont pris le contrôle de comptes appartenant à plusieurs employés de Reddit chez des fournisseurs d’hébergement Cloud et de code source.

L’accès à ces comptes était pourtant protégé par un système d’authentification à deux facteurs, gage de sécurité avancée, mais le deuxième de ces facteurs était un code envoyé par SMS, que les attaquants ont réussi à intercepter.

Le facteur de risque posé par les authentifications basées sur des messages SMS est pourtant connu depuis quelques années, car des pirates peuvent lancer une attaque dite de « SIM swapping » pour prendre le contrôle de la carte SIM d’un utilisateur et ainsi récupérer toutes les données qu’elle reçoit sur son numéro de mobile.

C’est manifestement ce qui s’est produit dans le cas du piratage des systèmes de Reddit. 

Comme l’a reconnu son responsable informatique :

« Nous avons appris à nos dépens qu’une authentification multi facteurs utilisant un message SMS n’était pas aussi sûre que nous le pensions, car c’est l’interception de SMS qui a provoqué la faille. »

La généralisation des méthodes d’authentification multi facteurs pour protéger les accès est clairement la solution pour pallier aux faiblesses du binôme traditionnel identifiant mot de passe.

Mais l’attaque menée contre Reddit prouve donc qu’une seconde étape d’authentification via un message SMS est certes pratique et largement utilisée, par exemple pour authentifier des paiements par carte bancaire, mais n’offre pas des garanties de sécurité suffisantes pour protéger les accès à des données critiques d’entreprise.

D’autres méthodes existent aujourd’hui, toutes aussi simples à implémenter et à utiliser mais beaucoup mieux sécurisées, telles que des applications d’authentification sur mobile utilisant la biométrie offerte par le terminal, les « soft tokens » à usage unique sur mobile, PC/Mac ou via email, ou encore de « hard tokens » connectés sur un port USB.

Arnaud Gallut, Regional Sales Director, Ping Identity

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
20/9/2018 15:00:00 - The Uncertain: Episode 1 - The Last Quiet Day
20/9/2018 14:30:00 - Faux sites administratifs : Vigilance oblige.
20/9/2018 14:00:00 - Warriors Orochi 4 : Nouvelles vidéos.
20/9/2018 13:30:00 - Philips 328P6VUBREB : Moniteur Pro, dock USB-C, 4K
20/9/2018 13:00:00 - CyberLink-PowerDirector 17 : Montage vidéo professionnel pour tous.
19/9/2018 15:00:00 - The Walking Dead : L'ultime saison, Épisode 2
19/9/2018 14:30:00 - Persona 3/5: Dancing in Moonlight et in Starlight annoncés !
19/9/2018 14:00:00 - Warhammer: Vermintide 2 : Dispo sur Xbox-One.
19/9/2018 13:30:00 - The Swindle : Simulation de cambriolage, Switch en octobre
19/9/2018 13:00:00 - D-link : Bornes COVr, du Wi-Fi pour la maison

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Publicité
helixee

helixee


Votre cloud personnel sécurisé et réseau social privé






© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité