Clé à emporter
- Les pirates peuvent voler des codes d'authentification multifacteur (MFA) par téléphone, selon les experts.
- Les compagnies de téléphone ont été amenées à transférer des numéros de téléphone pour permettre aux criminels d'obtenir les codes.
- Un moyen simple et peu coûteux d'augmenter la sécurité consiste à utiliser l'application d'authentification sur votre téléphone.
Pour rester à l'abri des pirates, arrêtez d'utiliser les codes d'authentification multifacteur (MFA) par téléphone envoyés par SMS et appels vocaux, écrit un expert en sécurité dans une nouvelle analyse.
Les codes téléphoniques sont vulnérables à l'interception par les pirates, a écrit Alex Weinert, directeur de la sécurité de l'identité chez Microsoft, dans un récent article de blog. Les codes textuels valent mieux que rien, disent les observateurs. Mais les utilisateurs doivent remplacer l'authentification par téléphone par des applications et des clés de sécurité.
"Ces mécanismes sont basés sur des réseaux téléphoniques commutés publics (PSTN), et je pense qu'ils sont les moins sûrs des méthodes MFA disponibles aujourd'hui", a-t-il écrit.
"Cet écart ne fera que s'élargir à mesure que l'adoption de la MFA augmentera l'intérêt des attaquants pour casser ces méthodes et que les authentificateurs spécialement conçus étendent leurs avantages en matière de sécurité et de convivialité. Planifiez votre passage à l'authentification forte sans mot de passe dès maintenant: l'application d'authentification fournit un option évolutive."
MFA est une méthode de sécurité dans laquelle un utilisateur d'ordinateur n'a accès à un site Web ou à une application qu'après avoir présenté avec succès deux éléments de preuve ou plus à un mécanisme d'authentification. Ces codes sont souvent envoyés par téléphone.
Les hackers se font passer pour vous
Il existe cependant des moyens pour les pirates d'accéder aux codes téléphoniques, selon les observateurs. Dans certains cas, les compagnies de téléphone ont été amenées à transférer des numéros de téléphone pour permettre aux pirates d'obtenir les codes.
"Les téléphones sont si peu sûrs que les utilisateurs reçoivent souvent des appels frauduleux qui leur sont acheminés depuis des pays du tiers monde tout en affichant des numéros de téléphone régionaux américains", a déclaré Matthew Rogers, CISO du fournisseur de cloud Syntax, dans une interview par e-mail. "Les téléphones sont également soumis à des attaques par échange de carte SIM, qui peuvent facilement contourner MFA via SMS."
Récemment, l'animateur de radio populaire de la BBC, Jeremy Vine, a été victime d'une attaque qui a conduit à la pénétration de son compte WhatsApp.
"L'attaque qui a trompé Vine avec succès commence par la réception d'un message SMS apparemment non sollicité contenant le code d'authentification à deux facteurs de son compte", a déclaré Ray Walsh, expert en confidentialité des données sur le site d'examen de la confidentialité ProPrivacy, dans un entretien par e-mail.
"Suite à cela, la victime reçoit un message direct d'un contact prétendant lui avoir envoyé un code par accident. Enfin, la victime est invitée à transmettre le code au pirate, ce qui lui donne un accès instantané au compte de la victime."
Les logiciels peuvent aussi être un problème. "En raison des vulnérabilités de l'appareil, la MFA pourrait potentiellement être écoutée par une application qui fuit ou un appareil compromis dont l'utilisateur n'a pas connaissance", a déclaré George Freeman, consultant en solutions au sein du groupe gouvernemental LexisNexis Risk Solutions, dans une interview par e-mail.
N'abandonnez pas encore votre téléphone
Cependant, la MFA basée sur le texte est mieux que rien, disent les experts. « MFA est l'un des outils les plus puissants dont dispose un utilisateur pour protéger ses comptes », a déclaré Mark Nunnikhoven, vice-président de la recherche sur le cloud chez Trend Micro, société de cybersécurité, dans une interview par e-mail.
"Il doit être activé dans la mesure du possible. Si vous avez le choix, utilisez une application d'authentification sur votre smartphone, mais au final, assurez-vous simplement que MFA est activé sous n'importe quelle forme."
Un moyen simple et peu coûteux d'augmenter la sécurité consiste à utiliser l'application d'authentification sur votre téléphone, a déclaré Peter Robert, co-fondateur et PDG de la société informatique Expert Computer Solutions, dans une interview par e-mail.
"Si vous avez le budget et considérez la sécurité comme critique, je vous encouragerais à évaluer les clés MFA matérielles", a-t-il ajouté. "Pour les entreprises et les particuliers soucieux de la sécurité, je recommanderais également un dark web service de surveillance pour vous faire savoir si des informations personnelles vous concernant sont disponibles et en vente sur le dark web."
Pour une approche plus Mission Impossible, la nouvelle norme FIDO2 avec Webauthn utilise l'authentification biométrique, explique Freeman. "L'utilisateur se connecte à un site financier, saisit un nom d'utilisateur, le site Web contacte [the] l'appareil mobile de l'utilisateur, une application sécurisée sur [the] téléphone invite ensuite l'utilisateur à fournir [leur] identification faciale ou empreinte digitale. En cas de succès, il s'authentifie ensuite la session Web », a-t-il déclaré.
Avec tant de menaces possibles, il est peut-être temps de commencer à chercher des moyens plus sûrs de se connecter à des sites Web qui stockent des informations personnelles. Les pirates pourraient se cacher sur le Web en attendant d'intercepter votre mot de passe.
