Pourquoi vous devriez aussi cesser d’utiliser le SMS comme deuxième facteur d’authentification

Activer une authentification forte par défaut, au moins pour les connexions externes, est aujourd’hui une bonne pratique de base largement adoptée en matière de cybersécurité. Pourtant aujourd’hui, les mécanismes de création d’un deuxième facteur d’authentification ou de validation ne sont pas tous égaux face aux vulnérabilités.

Le populaire SMS est ainsi souvent dorénavant mis à ban car il a en effet le malheur de cumuler deux faiblesses :

1. Une vulnérabilité intrinsèque au protocole de communication mobile SS7. Pour rappel, SS7 permet aux réseaux téléphoniques d’échanger les informations nécessaires à la transmission d’appels et de SMS entre eux et de garantir une facturation correcte (voir le complétement d’infos en fin d’article)
2. Une augmentation des piratages de cartes SIM pour s’approprier le numéro mobile de la future victime (voir le complétement d’infos en fin d’article)

Aujourd’hui, la chaîne de sécurité du SMS dépend donc beaucoup des fournisseurs de télécommunication … et même trop pour certaines banques allemandes selon cet article:

Parmi les différentes solutions listées en bas de cet article, le SMS n’est donc certes pas parfait mais certainement préférable à une totale absence d’authentification forte. Hormis les coûts d’envoi induits, le SMS a en effet surtout l’avantage de ne nécessiter aucune manipulation pour l’utilisateur, ce qui est un avantage indéniable pour de larges populations incluant des non-experts en informatique confrontés à l’utilisation de smartphones et l’installation d’applications.

Bref, aucune authentification n’est bien sûr parfaite et il s’agit de trouver pour chaque environnement le bon compromis entre la sécurité et l’expérience utilisateur. L’important est d’aller de l’avant, d’améliorer pas à pas sa sécurité et surtout ne pas de laisser distancer par les cybercriminels.

A propos de la faille SS7

A propos du piratage de cartes SIM :