info utiles - Les dangers de l’authentification par SMS - Mobilité

Mobilité : Les dangers de l’authentification par SMS

Posté par JulieM le 7/9/2018 13:30:00 Articles du même auteur

En juin 2018, le site américain Reddit, le plus gros forum Internet du monde, avec 234 millions de visiteurs uniques par mois, et un des 3 sites les plus consultés aux Etats Unis, a subi un piratage de grande ampleur.

Les attaquants ont eu accès à un gros volume de données, dont des adresses électroniques, des codes source, des fichiers internes et la sauvegarde d’une base de données d’utilisateurs datant de 2007.

Un piratage malheureusement plutôt banal, mais qui l’est moins par la méthode utilisée par les pirates pour pénétrer au sein des systèmes de Reddit.

En effet, ceux-ci ont pris le contrôle de comptes appartenant à plusieurs employés de Reddit chez des fournisseurs d’hébergement Cloud et de code source.

L’accès à ces comptes était pourtant protégé par un système d’authentification à deux facteurs, gage de sécurité avancée, mais le deuxième de ces facteurs était un code envoyé par SMS, que les attaquants ont réussi à intercepter.

Le facteur de risque posé par les authentifications basées sur des messages SMS est pourtant connu depuis quelques années, car des pirates peuvent lancer une attaque dite de « SIM swapping » pour prendre le contrôle de la carte SIM d’un utilisateur et ainsi récupérer toutes les données qu’elle reçoit sur son numéro de mobile.

C’est manifestement ce qui s’est produit dans le cas du piratage des systèmes de Reddit.

Comme l’a reconnu son responsable informatique :

« Nous avons appris à nos dépens qu’une authentification multi facteurs utilisant un message SMS n’était pas aussi sûre que nous le pensions, car c’est l’interception de SMS qui a provoqué la faille. »

La généralisation des méthodes d’authentification multi facteurs pour protéger les accès est clairement la solution pour pallier aux faiblesses du binôme traditionnel identifiant mot de passe.

Mais l’attaque menée contre Reddit prouve donc qu’une seconde étape d’authentification via un message SMS est certes pratique et largement utilisée, par exemple pour authentifier des paiements par carte bancaire, mais n’offre pas des garanties de sécurité suffisantes pour protéger les accès à des données critiques d’entreprise.

D’autres méthodes existent aujourd’hui, toutes aussi simples à implémenter et à utiliser mais beaucoup mieux sécurisées, telles que des applications d’authentification sur mobile utilisant la biométrie offerte par le terminal, les « soft tokens » à usage unique sur mobile, PC/Mac ou via email, ou encore de « hard tokens » connectés sur un port USB.

Arnaud Gallut, Regional Sales Director, Ping Identity

Note: 0.00 (0 votes) - Noter cet article -

Article précédent - Article suivant

Créer un fichier PDF à partir de cet article

Autres articles
22/9/2023 15:00:00 - Octopath Traveler II, PC et consoles
22/9/2023 14:00:00 - Faire bouger les lignes sur les femmes et la cybersécurité.
22/9/2023 13:00:00 - Des logiciels malveillants chinois en hausse.
20/9/2023 15:00:00 - Sophia the Traveler : jeu d’objets cachés à Venise sur PC
20/9/2023 14:00:00 - Lies of P. sur console et au Xbox Game Pass
20/9/2023 13:00:00 - Sécurité OT et IoT : une hausse des menaces
18/9/2023 15:00:00 - Ghostrunner 2, une démo pour PC et consoles
18/9/2023 14:00:00 - Romance of the Three Kingdoms 8 Remake
18/9/2023 13:00:00 - devolo: photovoltaïque, onduleur et mobilité électrique.
15/9/2023 15:00:00 - Réseaux : le prix à payer pour une escapade

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.