Face à la multiplication des cyberattaques, Microsoft, comme les autres grandes sociétés, encourage les utilisateurs à activer l'authentification par deux facteurs. Toutefois, la multinationale explique que l'envoi des codes par SMS est particulièrement vulnérable.
L'authentification par deux facteurs est aujourd'hui quasi généralisée. Pour s'identifier, le dispositif propose non seulement de saisir son mot de passe mais également un code à usage unique sur les terminaux qui ne sont pas reconnus comme étant des appareils de confiance.
La vulnérabilité des codes par SMS
Lorsque l'utilisateur souhaite se connecter à un compte internet protégé par une authentification à deux facteurs sur un ordinateur public, il a généralement le choix pour recevoir ce code à usage unique. Ce dernier peut être généré par une application telle que Microsoft Authenticator, Authy, FreeOTP Authenticator ou Google Authenticator. Ce code peut également être envoyé sur sa boîte mail. Enfin, il peut également être envoyé par SMS, voire dicté par téléphone.
Dans ces deux derniers cas, selon Alex Weinert, directeur du département Identité et Sécurité chez Microsoft, les SMS et les appels sont transmis en clair. Cela signifie qu'ils peuvent être interceptés. Sur Tor, un service facturé à 500 dollars par mois permet d'exploiter des failles du réseau téléphonique afin d'intercepter les communications.
Il existe en outre des appareils vendus illégalement dans le seul but de collecter les IMSI afin d'identifier un utilisateur sur un réseau de téléphonie mobile. Le numéro IMEI permet quant à lui de récupérer la position géographique du téléphone. Couplé à un logiciel tel que FISHHAWK ou PORPOISE, il est alors possible de récupérer les messages et d'en envoyer depuis ces téléphones.
L'envoi d'un code à usage unique par SMS est également vulnérable à l'appréciation humaine de l'opérateur téléphonique. La technique du SIM swapping vise à recueillir un maximum d'informations sur la victime et de convaincre l'opérateur de migrer la ligne vers une seconde carte SIM en prétendant avoir perdu son téléphone. Lorsque la technique est en place, les codes à usage uniques sont donc envoyés vers un autre téléphone détenu par le hacker.
Microsoft conseille d'opter pour une autre méthode
Alex Weinert explique que les techniques de hacking ciblant les SMS et les appels téléphoniques tendent à se multiplier, ce qui en fait la technique la plus vulnérable aujourd'hui pour une authentification par deux facteurs.
Dans un billet de blog publié l'année dernière, il expliquait que les codes générés par des appareils électroniques constituaient la méthode la plus fiable. Sur le marché, nous retrouvons par exemple YubiKey ou Google Titan.
Si, toutefois, vous ne souhaitez pas investir, mieux vaut donc opter pour une application générant des codes temporaires automatiquement.
Source : Zdnet US