L'authentification par SMS est très risquée, quelle est l'alternative ?

Selon Yahoo, les codes d'authentification à usage unique (OTP) envoyés par SMS sont encore largement utilisés comme deuxième couche de protection dans le processus d'authentification à deux facteurs, aidant les utilisateurs à se connecter aux applications bancaires, de messagerie électronique ou de réseaux sociaux.

Cependant, Yahoo prévient que les SMS sont l’une des méthodes de sécurité les plus faibles car ils sont très vulnérables aux attaques de phishing.

Une enquête récente menée par Bloomberg Businessweek et Lighthouse Reports a révélé un risque plus important : ces OTP pourraient être consultés par des tiers. Plus précisément, l'entreprise suisse de télécommunications peu connue Fink Telecom Services a eu accès à plus d'un million de messages contenant des codes d'authentification à deux facteurs en juin 2023.

En tant qu'intermédiaire entre les entreprises générant les codes d'authentification et les utilisateurs finaux, Fink Telecom Services est autorisée à traiter et à consulter le contenu des messages. Ce qui est inquiétant, c'est que cette entreprise est soupçonnée de participer à la surveillance des utilisateurs et d'interférer avec leurs comptes personnels.

Les OTP divulgués provenaient de grandes entreprises telles que Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp et plusieurs banques européennes. Les messages ont été envoyés à des utilisateurs dans plus de 100 pays.

Selon Yahoo, la principale raison pour laquelle l'authentification à deux facteurs par SMS n'est pas sécurisée est que les entreprises externalisent souvent l'envoi de SMS à moindre coût, via des contrats importants avec plusieurs opérateurs et un système de « titres globaux » (adresses réseau utilisées pour se connecter entre pays). La faiblesse de ce système réside dans le fait que les entreprises qui les utilisent ne travaillent pas directement avec des entités comme Fink Telecom Services, mais via plusieurs sous-traitants, ce qui complique la sécurité des données.

M. Pham Manh Cuong, fondateur de Wischain Company Limited, a expliqué que la méthode d'authentification à deux facteurs via des messages SMS n'est plus sûre aujourd'hui car les cyberattaquants sont de plus en plus sophistiqués, profitant facilement des vulnérabilités du système de sécurité pour y accéder.

L’une des formes les plus courantes d’attaques de phishing consiste à utiliser un message, un e-mail ou un site Web apparemment fiable pour inciter les utilisateurs à fournir des informations sensibles telles que des noms d’utilisateur, des mots de passe ou des codes OTP.

De plus, l'échange de carte SIM constitue une menace sérieuse. Les fraudeurs peuvent voler le numéro de téléphone de la victime, à partir duquel ils reçoivent des codes d'authentification envoyés par SMS.

De plus, de nombreux utilisateurs ont encore l'habitude d'installer des logiciels d'origine inconnue, notamment sur les appareils Android, ce qui conduit à des logiciels espions ou des enregistreurs de frappe qui peuvent enregistrer secrètement la frappe au clavier, volant ainsi des informations d'accès.

Bien que l'authentification par SMS soit toujours considérée comme une certaine couche de protection, par rapport aux méthodes modernes comme Google Authenticator - une application qui génère des codes d'authentification aléatoires qui changent toutes les 30 secondes et est indépendante des réseaux mobiles - les SMS montrent de plus en plus leurs faiblesses.

Source : https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm