info utiles - Les dangers de l’authentification par SMS - Mobilité

Mobilité : Les dangers de l’authentification par SMS

Posté par JulieM le 7/9/2018 13:30:00 Articles du même auteur

En juin 2018, le site américain Reddit, le plus gros forum Internet du monde, avec 234 millions de visiteurs uniques par mois, et un des 3 sites les plus consultés aux Etats Unis, a subi un piratage de grande ampleur.

Les attaquants ont eu accès à un gros volume de données, dont des adresses électroniques, des codes source, des fichiers internes et la sauvegarde d’une base de données d’utilisateurs datant de 2007.

Un piratage malheureusement plutôt banal, mais qui l’est moins par la méthode utilisée par les pirates pour pénétrer au sein des systèmes de Reddit.

En effet, ceux-ci ont pris le contrôle de comptes appartenant à plusieurs employés de Reddit chez des fournisseurs d’hébergement Cloud et de code source.

L’accès à ces comptes était pourtant protégé par un système d’authentification à deux facteurs, gage de sécurité avancée, mais le deuxième de ces facteurs était un code envoyé par SMS, que les attaquants ont réussi à intercepter.

Le facteur de risque posé par les authentifications basées sur des messages SMS est pourtant connu depuis quelques années, car des pirates peuvent lancer une attaque dite de « SIM swapping » pour prendre le contrôle de la carte SIM d’un utilisateur et ainsi récupérer toutes les données qu’elle reçoit sur son numéro de mobile.

C’est manifestement ce qui s’est produit dans le cas du piratage des systèmes de Reddit.

Comme l’a reconnu son responsable informatique :

« Nous avons appris à nos dépens qu’une authentification multi facteurs utilisant un message SMS n’était pas aussi sûre que nous le pensions, car c’est l’interception de SMS qui a provoqué la faille. »

La généralisation des méthodes d’authentification multi facteurs pour protéger les accès est clairement la solution pour pallier aux faiblesses du binôme traditionnel identifiant mot de passe.

Mais l’attaque menée contre Reddit prouve donc qu’une seconde étape d’authentification via un message SMS est certes pratique et largement utilisée, par exemple pour authentifier des paiements par carte bancaire, mais n’offre pas des garanties de sécurité suffisantes pour protéger les accès à des données critiques d’entreprise.

D’autres méthodes existent aujourd’hui, toutes aussi simples à implémenter et à utiliser mais beaucoup mieux sécurisées, telles que des applications d’authentification sur mobile utilisant la biométrie offerte par le terminal, les « soft tokens » à usage unique sur mobile, PC/Mac ou via email, ou encore de « hard tokens » connectés sur un port USB.

Arnaud Gallut, Regional Sales Director, Ping Identity

Note: 0.00 (0 votes) - Noter cet article -

Article précédent - Article suivant

Créer un fichier PDF à partir de cet article

Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.