L'identification à deux facteurs (par SMS) doit-elle cesser ?
Par Didier Pulicani - Publié le
l'authentification à deux facteurs, une pratique censée améliorer la sécurité des accès en ligne.
Sur les produits Apple, certaines fonctions exigent même d'activer cette option sur iCloud, c'est le cas avec le déverrouillage de son Mac avec l'Apple Watch. Dans le principe, lorsqu'on se connecte à son compte, Apple envoie un SMS avec un code d'activation que l'utilisateur doit retaper de son côté pour prouver son identité. Le système est de plus en plus utilisé par les différents services autour de nous, que ce soit les banques, les opérateurs mobiles ou même les caisses d'assurance.
Problème, cette validation par SMS serait tout sauf sécurisée. Comme le relève Motherboard, il est assez
facilepour un hacker de pirater vos messages. Depuis des années court en effet une faille appelée
SS7qui permet à des petits malins de se faire passer pour un opérateur, et d'avoir accès à vos données réseau : écouter vos appels, intercepter les SMS et même vous localiser.
A l'origine, le système était surtout utilisé par les opérateurs pour répondre aux demandes des services de renseignement. Mais depuis quelques temps, le piratages de comptes bancaires semble s'intensifier par ce biais. Même si la mise en place reste complexe (cela exige un peu de matériel et une cible qui en vaille la peine), il y a de quoi s'interroger sur la volonté des multinationales de nous faire passer obligatoirement par une validation SMS plutôt qu'une connexion SSL par exemple (via iMessage ou Whatsapp) qui est chiffrée et a priori moins sujet à des actes de piraterie. Problème, la plupart de ces outils (Google, Facebook...) utilisent justement la validation par SMS !
La puissante FCC américaine a lancé un signal début mars aux banques qui adopteraient l'identification à double facteur, les pressant de trouver une solution plus sécurisée devant la multiplication des actes de piratage de comptes via SS7. De façon plus globale, est-il vraiment pertinent de se fier aux SMS alors que la faille est connue depuis 2014 et que l'on a depuis, bien d'autres moyens de valider une connexion de façon plus sécurisée ? La question mérite d'être posée.