L'authentification par SMS est très risquée, quelle est l'alternative ?

Selon Yahoo, les codes d'authentification à usage unique (OTP) envoyés par SMS sont encore largement utilisés comme deuxième couche de protection dans le processus d'authentification à deux facteurs, aidant les utilisateurs à se connecter aux applications bancaires, de messagerie ou de réseaux sociaux.

Cependant, Yahoo prévient que les SMS constituent l'une des méthodes de sécurité les plus faibles car ils sont très vulnérables aux attaques de phishing.

Une enquête récente menée par Bloomberg Businessweek et Lighthouse Reports a révélé un risque plus important : ces codes OTP pourraient être consultés par des tiers. Plus précisément, la société de télécommunications suisse Fink Telecom Services, peu connue du grand public, a eu accès à plus d’un million de messages contenant des codes d’authentification à deux facteurs en juin 2023.

En tant qu'intermédiaire entre les entreprises générant les codes d'authentification et les utilisateurs finaux, Fink Telecom Services est en droit de traiter et de consulter le contenu des messages. Or, cette entreprise est soupçonnée de participer à des activités de surveillance des utilisateurs et d'interférer avec des comptes personnels.

Les codes OTP divulgués provenaient de nombreuses grandes entreprises telles que Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp et plusieurs banques européennes. Ces messages ont été envoyés à des utilisateurs dans plus de 100 pays.

Selon Yahoo, la principale raison pour laquelle l'authentification à deux facteurs par SMS n'est pas sécurisée est que les entreprises font souvent appel à des intermédiaires pour envoyer des SMS à moindre coût, via de vastes contrats avec de multiples opérateurs et un système d'« adresses globales » (adresses réseau utilisées pour les connexions internationales). La faiblesse de ce système réside dans le fait que les entreprises qui font appel à ces intermédiaires ne travaillent pas directement avec des entités comme Fink Telecom Services, mais par l'intermédiaire de plusieurs sous-traitants, ce qui complique la garantie de la sécurité des données.

M. Pham Manh Cuong, fondateur de Wischain Company Limited, a expliqué que la méthode d'authentification à deux facteurs par SMS n'est plus sûre aujourd'hui car les cyberattaquants sont de plus en plus sophistiqués et exploitent facilement les vulnérabilités du système de sécurité pour y accéder.

L'une des formes les plus courantes d'attaques de phishing consiste à utiliser des messages, des courriels ou des sites Web apparemment fiables pour inciter les utilisateurs à fournir des informations sensibles telles que des noms d'utilisateur, des mots de passe ou des codes OTP.

De plus, l'échange de carte SIM représente également une menace sérieuse. Les fraudeurs peuvent voler le numéro de téléphone de la victime et recevoir des codes d'authentification envoyés par SMS.

De plus, de nombreux utilisateurs ont encore l'habitude d'installer des logiciels d'origine inconnue, notamment sur les appareils Android, ce qui conduit à l'installation de logiciels espions ou d'enregistreurs de frappe capables d'enregistrer secrètement les frappes au clavier et de voler ainsi les informations d'accès.

Bien que l'authentification par SMS soit encore considérée comme une certaine couche de protection, comparée aux méthodes modernes comme Google Authenticator — une application qui génère des codes d'authentification aléatoires changeant toutes les 30 secondes et indépendante des réseaux mobiles —, l'authentification par SMS montre de plus en plus ses faiblesses.

Source : https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm