Découvrez comment votre carte SIM pourrait protéger vos données des hackers

Publié le 26 mai 2022 à 14h15

Pour lutter contre la faiblesse de la sécurité accordée par la combinaison identifiant-mot de passe, notamment sensible aux attaques de type phishing, des solutions alternatives sont explorées.

Apple, Google et Microsoft ont l'ambition commune de supprimer les mots de passe du schéma d’authentification en ayant recours aux standards FIDO. La reconnaissance biométrique a aussi beaucoup évolué ces dernières années. Mais une autre possibilité est en train d'émerger : l'authentification basée sur la carte SIM.

La fin des mots de passe ?

Les systèmes actuels reposant sur le mot de passe sont sensibles aux attaques par force brute lorsque les mots de passe choisis sont trop faibles. Et même si ceux-ci respectent les recommandations en vigueur, reste le problème de l'hameçonnage : les campagnes de phishing sont de plus en plus sophistiquées et l'utilisateur est amené à partager de lui-même ses identifiants avec des acteurs malveillants.

L'authentification à double facteur (2FA) s'est alors imposée comme un moyen fiable de protéger ses comptes en ligne. Cette méthode accroît largement la sécurité, mais reste faillible. Elle est de plus en plus visée par les pirates, qui parviennent à la détourner. D'après une étude de chercheurs à la Stony Brook University, plus de 1 200 kits de phishing permettant d'intercepter les codes 2FA sont disponibles en ligne.

Reste l'option des clés de sécurité physiques, mais elles sont trop chères et pas assez pratiques pour le grand public.

La carte SIM comme clé de sécurité

Nous connaissons un autre objet physique, qui ne coûte pas bien cher, que tout le monde a déjà en sa possession, et qui offre des fonctions de sécurité poussées : la carte SIM.

Cela tombe bien, une API tru.ID permet désormais d'ouvrir l'authentification du réseau mobile basée sur la carte SIM aux développeurs. En d'autres termes, il est maintenant possible pour les plateformes de créer une authentification multifacteur en ayant simplement recours aux informations de la carte SIM.

Les avantages sont multiples :

Les tentatives de phishing seront difficiles, car la méthode utilise la combinaison du numéro de téléphone avec l'IMSI (identité internationale d'abonné mobile) de la SIM qui lui est associé. Ce dernier élément est vérifié de manière invisible, l'utilisateur n'a pas besoin de le renseigner lui-même.
L'expérience utilisateur n'en sera que meilleure, car le processus d'authentification sera exécuté automatiquement par le réseau mobile sans intervention humaine.

D'autres méthodes pour mettre un terme à l'hégémonie du mot de passe sont en cours d'étude et semblent également prometteuses. Il est probable qu'à terme, une seule d'entre elles parvienne véritablement à s'imposer à grande échelle.

Sur le même sujet :
Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer

Source : The Hacker News

Par Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Articles d'Alexandre Schmid

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (6)

philou44300

Et si on se fait voler son téléphone le voleur peut accéder aux sites?

Francois06

Pas faux, sauf que si il accède aux web avec, à moins qu’il soit en même temps hacker, il est localisé.
Perso, je ne connais pas de hackers assez con pour voler un tel et se connecté avec.
De facto, à méditer!!!

phil995511

Si la carte SIM utilisée est physique elle peut éventuellement servir à cet effet, mais en cas d’utilisation d’une eSIM (carte virtuelle) le niveau de sécurité mis en évidence par cet article baisse alors drastiquement.

lightness

Et puis bon l’opérateur qui gère votre carte SIM est loin d’être un exemple de ce qui se fait de mieux en sécurité. Concrètement c’est lui qui va accéder aux sites que vous consultez pour savoir si vous êtes conforme avec leur vision du monde pendant que vous avez le dos tourné et puis votre carte sim sera piraté à coup sûr. Ils sont déjà pas capable de se sécuriser eux-mêmes.

Palou

Quand tu es en déplacement (en France ou ailleurs) et que tu n’as plus ton tél. car il vient d’être dérobé, ça va être dur d’appeler le service concerné. De plus, je ne connais pas grand monde qui connait son n° IMEI par coeur, « au mieux » il l’ont noté dans … leur téléphone volé !

lightness

Oui et c’est pareil tu cherches à accéder à ton compte Google dans un hôtel , un bar ok mais là ton compte Google te demande alors de prouver que c’est toi qui demande d’accéder à ton compte Google… Avec ton téléphone, ta connexion biométrique et ton mot de passe. Du coup comme tu viens de te faire voler ton téléphone tu peux pas le bloquer. Ou alors tu avais ton pc portable près de toi, tu as ouvert récemment ton compte et c’est bon. Mais si tu te fais voler ton smartphone à la sortie d’un aéroport. La géolocalisation fait que Google te reconnait comme étant dans un lieu inhabituel et tu es bloqué.