L'authentification par SMS est très risquée, quelle est l'alternative ?

Selon Yahoo, les codes d'authentification à usage unique (OTP) envoyés par SMS sont encore largement utilisés comme deuxième couche de protection dans le processus d'authentification à deux facteurs, aidant les utilisateurs à se connecter aux applications bancaires, de messagerie électronique ou de réseaux sociaux.

Cependant, Yahoo prévient que le SMS est l’une des méthodes de sécurité les plus faibles car il est très vulnérable aux attaques de phishing.

Une enquête récente menée par Bloomberg Businessweek et Lighthouse Reports a révélé un risque plus important : ces codes OTP pourraient être consultés par des tiers. Plus précisément, l'entreprise de télécommunications suisse peu connue Fink Telecom Services a eu accès à plus d'un million de messages contenant des codes d'authentification à deux facteurs en juin 2023.

En tant qu'intermédiaire entre les entreprises générant les codes d'authentification et les utilisateurs finaux, Fink Telecom Services est autorisée à traiter et à consulter le contenu des messages. Ce qui est inquiétant, c'est que cette entreprise est soupçonnée de participer à des activités de surveillance des utilisateurs et d'interférer avec leurs comptes personnels.

Les codes OTP divulgués provenaient de nombreuses grandes entreprises telles que Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp et de nombreuses banques européennes. Les messages ont été envoyés à des utilisateurs dans plus de 100 pays.

Selon Yahoo, la principale raison pour laquelle l'authentification à deux facteurs par SMS n'est pas sécurisée réside dans le fait que les entreprises font souvent appel à des intermédiaires pour envoyer des SMS à moindre coût, via des contrats importants avec plusieurs opérateurs et un système de « titres globaux » (adresses réseau utilisées pour se connecter entre pays). La faiblesse de ce système réside dans le fait que les entreprises qui font appel à ces intermédiaires ne travaillent pas directement avec des entités comme Fink Telecom Services, mais via plusieurs sous-traitants, ce qui complique la sécurisation des données.

M. Pham Manh Cuong, fondateur de Wischain Company Limited, a expliqué que la méthode d'authentification à deux facteurs via des messages SMS n'est plus sûre aujourd'hui car les cyberattaquants sont de plus en plus sophistiqués, profitant facilement des vulnérabilités du système de sécurité pour y accéder.

L’une des formes les plus courantes d’attaques de phishing consiste à utiliser des messages, des e-mails ou des sites Web apparemment fiables pour inciter les utilisateurs à fournir des informations sensibles telles que des noms d’utilisateur, des mots de passe ou des codes OTP.

De plus, l'échange de carte SIM constitue une menace sérieuse. Les fraudeurs peuvent voler le numéro de téléphone de la victime, à partir duquel ils peuvent recevoir des codes d'authentification envoyés par SMS.

De plus, de nombreux utilisateurs ont encore l'habitude d'installer des logiciels d'origine inconnue, notamment sur les appareils Android, ce qui conduit à des logiciels espions ou des enregistreurs de frappe qui peuvent enregistrer secrètement la frappe au clavier, volant ainsi des informations d'accès.

Bien que l'authentification par SMS soit toujours considérée comme une certaine couche de protection, par rapport aux méthodes modernes comme Google Authenticator - une application qui génère des codes d'authentification aléatoires qui changent toutes les 30 secondes et est indépendante des réseaux mobiles - les SMS montrent de plus en plus leurs faiblesses.

Source : https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm