Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets

Mobilité : Les dangers de l’authentification par SMS
Posté par JulieM le 7/9/2018 13:30:00 Articles du même auteur

En juin 2018, le site américain Reddit, le plus gros forum Internet du monde, avec 234 millions de visiteurs uniques par mois, et un des 3 sites les plus consultés aux Etats Unis, a subi un piratage de grande ampleur.

Les attaquants ont eu accès à un gros volume de données, dont des adresses électroniques, des codes source, des fichiers internes et la sauvegarde d’une base de données d’utilisateurs datant de 2007.

Un piratage malheureusement plutôt banal, mais qui l’est moins par la méthode utilisée par les pirates pour pénétrer au sein des systèmes de Reddit. 

En effet, ceux-ci ont pris le contrôle de comptes appartenant à plusieurs employés de Reddit chez des fournisseurs d’hébergement Cloud et de code source.

L’accès à ces comptes était pourtant protégé par un système d’authentification à deux facteurs, gage de sécurité avancée, mais le deuxième de ces facteurs était un code envoyé par SMS, que les attaquants ont réussi à intercepter.

Le facteur de risque posé par les authentifications basées sur des messages SMS est pourtant connu depuis quelques années, car des pirates peuvent lancer une attaque dite de « SIM swapping » pour prendre le contrôle de la carte SIM d’un utilisateur et ainsi récupérer toutes les données qu’elle reçoit sur son numéro de mobile.

C’est manifestement ce qui s’est produit dans le cas du piratage des systèmes de Reddit. 

Comme l’a reconnu son responsable informatique :

« Nous avons appris à nos dépens qu’une authentification multi facteurs utilisant un message SMS n’était pas aussi sûre que nous le pensions, car c’est l’interception de SMS qui a provoqué la faille. »

La généralisation des méthodes d’authentification multi facteurs pour protéger les accès est clairement la solution pour pallier aux faiblesses du binôme traditionnel identifiant mot de passe.

Mais l’attaque menée contre Reddit prouve donc qu’une seconde étape d’authentification via un message SMS est certes pratique et largement utilisée, par exemple pour authentifier des paiements par carte bancaire, mais n’offre pas des garanties de sécurité suffisantes pour protéger les accès à des données critiques d’entreprise.

D’autres méthodes existent aujourd’hui, toutes aussi simples à implémenter et à utiliser mais beaucoup mieux sécurisées, telles que des applications d’authentification sur mobile utilisant la biométrie offerte par le terminal, les « soft tokens » à usage unique sur mobile, PC/Mac ou via email, ou encore de « hard tokens » connectés sur un port USB.

Arnaud Gallut, Regional Sales Director, Ping Identity

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
17/10/2019 15:00:00 - Control : Action-aventure, Le mode photo
17/10/2019 14:30:00 - Override Mech City Brawl : Nintendo Switch.
17/10/2019 14:00:00 - Black Desert Online : La Grande Expédition, 23 octobre !
17/10/2019 13:30:00 - Cybersécurité : Comment réduire les risques ?
15/10/2019 15:00:00 - Shadowplay : Metropolis Foe : sur PC en 2020 !
15/10/2019 14:30:00 - Astérix & Obélix XXL3 : Le Menhir de Cristal
15/10/2019 14:00:00 - Werewolf : The Apocalypse-Earthblood : Le 19 octobre.
15/10/2019 13:30:00 - Confort et sécurité pour les consommateurs et les entreprises
14/10/2019 15:00:00 - TSW : Rhein-Ruhr Osten : Wuppertal - Hagen, Console et PC
14/10/2019 14:30:00 - Frostpunk : Disponible sur PS4 et Xbox-One.

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



www.bitdefender.fr

Bitdefender






© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité