Navigation
Les derniers articles
Suivez en direct

Pourquoi vous devriez aussi cesser d’utiliser le SMS comme deuxième facteur d’authentification

Mobile

Activer une authentification forte par défaut, au moins pour les connexions externes, est aujourd’hui une bonne pratique de base largement adoptée en matière de cybersécurité. Pourtant aujourd’hui, les mécanismes de création d’un deuxième facteur d’authentification ou de validation ne sont pas tous égaux face aux vulnérabilités.

Le populaire SMS est ainsi souvent dorénavant mis à ban car il a en effet le malheur de cumuler deux faiblesses :

  1. Une vulnérabilité intrinsèque au protocole de communication mobile SS7. Pour rappel, SS7 permet aux réseaux téléphoniques d’échanger les informations nécessaires à la transmission d’appels et de SMS entre eux et de garantir une facturation correcte (voir le complétement d’infos en fin d’article)
  2. Une augmentation des piratages de cartes SIM pour s’approprier le numéro mobile de la future victime (voir le complétement d’infos en fin d’article)

Aujourd’hui, la chaîne de sécurité du SMS dépend donc beaucoup des fournisseurs de télécommunication … et même trop pour certaines banques allemandes selon cet article:

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

German banks to stop using SMS to deliver second authentication/verification factor – Help Net Security

German banks are moving away from SMS-based customer authentication and transaction verification (SMS-TAN), as the method is deemed to be too insecure.

Parmi les différentes solutions listées en bas de cet article, le SMS n’est donc certes pas parfait mais certainement préférable à une totale absence d’authentification forte. Hormis les coûts d’envoi induits, le SMS a en effet surtout l’avantage de ne nécessiter aucune manipulation pour l’utilisateur, ce qui est un avantage indéniable pour de larges populations incluant des non-experts en informatique confrontés à l’utilisation de smartphones et l’installation d’applications.

Bref, aucune authentification n’est bien sûr parfaite et il s’agit de trouver pour chaque environnement le bon compromis entre la sécurité et l’expérience utilisateur. L’important est d’aller de l’avant, d’améliorer pas à pas sa sécurité et surtout ne pas de laisser distancer par les cybercriminels.

A propos de la faille SS7

SS7, telecoms’ largest security hole – Panda Security Mediacenter

The SS7 protocol was created in 1975, and has hardly been updated since, which means that it lacks sufficient security for those that make use of it.

SS7 hack explained: what can you do about it?

A vulnerability means hackers can read texts, listen to calls and track mobile phone users. What are the implications and how can you protect yourself from snooping?

A propos du piratage de cartes SIM :

Large-scale SIM swap fraud | Securelist

If someone steals your phone number, you’ll face a lot of problems, especially because most of our modern two-factor authentication systems are based on SMSs that can be intercepted using this…

How to Prevent and Respond to a SIM Swap Scam

When ZDNet’s Matthew Miller got hit with a SIM swap attack, he described it as a « horror story » that caused him to lose « decades of data. » And he’s not being hyperbolic; more than a week later, he’s still dealing with the aftereffects, and there’s no guarantee from some of the major tech players-including Twitter and G…

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
1 commentaire
  1. Ping : Veille Cyber N241 – 29 juillet 2019 |

Commentaires désactivés.

Des idées de lecture recommandées par DCOD

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.