💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Mobile

Pourquoi vous devriez aussi cesser d’utiliser le SMS comme deuxième facteur d’authentification

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

📚 Lecture conseillée : Cybersécurité: Le guide du débutant📘 Voir sur Amazon

Activer une authentification forte par défaut, au moins pour les connexions externes, est aujourd’hui une bonne pratique de base largement adoptée en matière de cybersécurité. Pourtant aujourd’hui, les mécanismes de création d’un deuxième facteur d’authentification ou de validation ne sont pas tous égaux face aux vulnérabilités.

Le populaire SMS est ainsi souvent dorénavant mis à ban car il a en effet le malheur de cumuler deux faiblesses :

  1. Une vulnérabilité intrinsèque au protocole de communication mobile SS7. Pour rappel, SS7 permet aux réseaux téléphoniques d’échanger les informations nécessaires à la transmission d’appels et de SMS entre eux et de garantir une facturation correcte (voir le complétement d’infos en fin d’article)
  2. Une augmentation des piratages de cartes SIM pour s’approprier le numéro mobile de la future victime (voir le complétement d’infos en fin d’article)

Aujourd’hui, la chaîne de sécurité du SMS dépend donc beaucoup des fournisseurs de télécommunication … et même trop pour certaines banques allemandes selon cet article:

German banks to stop using SMS to deliver second authentication/verification factor – Help Net Security

German banks are moving away from SMS-based customer authentication and transaction verification (SMS-TAN), as the method is deemed to be too insecure.

Parmi les différentes solutions listées en bas de cet article, le SMS n’est donc certes pas parfait mais certainement préférable à une totale absence d’authentification forte. Hormis les coûts d’envoi induits, le SMS a en effet surtout l’avantage de ne nécessiter aucune manipulation pour l’utilisateur, ce qui est un avantage indéniable pour de larges populations incluant des non-experts en informatique confrontés à l’utilisation de smartphones et l’installation d’applications.

Bref, aucune authentification n’est bien sûr parfaite et il s’agit de trouver pour chaque environnement le bon compromis entre la sécurité et l’expérience utilisateur. L’important est d’aller de l’avant, d’améliorer pas à pas sa sécurité et surtout ne pas de laisser distancer par les cybercriminels.

A propos de la faille SS7

SS7, telecoms’ largest security hole – Panda Security Mediacenter

The SS7 protocol was created in 1975, and has hardly been updated since, which means that it lacks sufficient security for those that make use of it.

SS7 hack explained: what can you do about it?

A vulnerability means hackers can read texts, listen to calls and track mobile phone users. What are the implications and how can you protect yourself from snooping?

A propos du piratage de cartes SIM :

Large-scale SIM swap fraud | Securelist

If someone steals your phone number, you’ll face a lot of problems, especially because most of our modern two-factor authentication systems are based on SMSs that can be intercepted using this…

How to Prevent and Respond to a SIM Swap Scam

When ZDNet’s Matthew Miller got hit with a SIM swap attack, he described it as a « horror story » that caused him to lose « decades of data. » And he’s not being hyperbolic; more than a week later, he’s still dealing with the aftereffects, and there’s no guarantee from some of the major tech players-including Twitter and G…

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

1 commentaire
  1. Ping : Veille Cyber N241 – 29 juillet 2019 |

Commentaires désactivés.

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏