L’authentification à deux facteurs (2FA) est devenue essentielle dans notre société numérique actuelle, où les pirates sont capables de compromettre de nombreux mots de passe. Bien que la double vérification basée sur un code reçu par SMS soit mieux que rien, les applications d’authentification offrent de nombreux avantages en fournissant une protection plus solide contre les attaquants malveillants cherchant à pirater vos comptes en ligne.
L’abandon de Twitter de la 2FA basée sur les SMS a suscité beaucoup de controverses et a ouvert la porte à une multitude d’applications frauduleuses sur les App Stores.
Twitter a déclaré en février que les escrocs avaient exploité la 2FA basée sur les numéros de téléphone. Elon Musk, le PDG de Twitter, a même soutenu que la 2FA basée sur les SMS était à la fois peu sûre et désordonnée.
Quoi qu’il en soit, la double authentification par SMS présente de nombreuses failles que les cybercriminels exploitent.
Faiblesses de la méthode SMS
L’échange de carte SIM, ou SIM swapping, est l’un des exemples les plus parlants de la façon dont un voleur peut contourner la 2FA et vider le compte bancaire ou le portefeuille de cryptomonnaie d’un utilisateur. En 2018, Michael Terpin, investisseur en crypto, fondateur et PDG de Transform Group, a perdu près de 24 millions de dollars lorsqu’un adolescent a intercepté les codes 2FA envoyés à son numéro.
Les cybercriminels peuvent obtenir votre numéro de téléphone en exploitant des fuites de données, des archives publiques ou par le biais d’ingénierie sociale. Ils parviennent ensuite à soudoyer ou manipuler un employé de l’opérateur téléphonique pour transférer votre numéro sur une carte SIM qu’ils contrôlent. Ainsi, ils peuvent recevoir vos codes de vérification par SMS et accéder à vos différents comptes en ligne.
Le hameçonnage par SMS, également appelé smishing, est une autre méthode populaire utilisée par les fraudeurs pour voler des codes de vérification et accéder aux comptes des utilisateurs.
De plus, les messages SMS sont transmis sur des canaux non sécurisés, ce qui signifie qu’ils peuvent être interceptés et lus par toute personne ayant la motivation nécessaire.
Les messages SMS peuvent également être facilement lus par toute personne ayant un accès physique à votre téléphone. Il est impossible de contrôler où le SMS est envoyé et le délai d’expiration du code peut être aléatoire, donnant aux attaquants de nombreuses opportunités d’exploiter cette faiblesse.
Avantages de l’utilisation d’une application d’authentification dédiée
Les applications d’authentification ne sont pas seulement plus rapides et plus fiables que les SMS, elles fournissent également une couche de sécurité supplémentaire grâce à un code d’accès, un mot de passe ou la biométrie (comme une empreinte digitale ou faciale selon votre modèle de smartphone).
Les applications d’authentification fonctionnent localement, ce qui signifie qu’il est impossible pour un attaquant d’intercepter vos codes, à moins qu’il ne vous ait infecté avec un logiciel malveillant. Cependant, cela est une autre histoire.
Une application d’authentification affichera un compte à rebours clair pour vos codes et en générera de nouveaux à l’expiration du délai. Cela rendra difficile l’interception de ces codes sans accès physique à votre téléphone.
Surtout, les applications d’authentification ne présentent aucune des faiblesses du SMS.
Cependant, il convient de noter que certaines applications d’authentification peuvent également être frauduleuses. Il est donc essentiel de n’utiliser qu’une application d’authentification de confiance, comme celle de Google ou de Microsoft. Les utilisateurs d’Apple peuvent également opter pour l’authentificateur intégré d’iOS, qui bien qu’il ne soit peut-être pas aussi intuitif que les applications autonomes, reste fiable et sécurisé.
Il est important de souligner que l’authentification multifactorielle ne protège pas contre les logiciels malveillants. Il est donc recommandé d’utiliser une solution de sécurité dédiée sur vos appareils personnels, y compris votre téléphone.
