BitDefender, double authentification et le SMS
Selon la société de sécurité informatique BitDefender, les usagers du net doivent éviter à tout prix d’utiliser l’authentification à double facteur à travers le SMS.
Cette injonction vient du fait de l’explosion de nouveau modèle de piratage informatique qui en vogue de nos jours. Même si sa position est claire sur le sujet, BitDefender a dû plus tard se rétracter en conseillant aux utilisateurs d’activer ce mode de double authentification au lieu d’en avoir aucun pour se protéger.
Cet article va aussi vous intéresser : Des pirates informatiques chinois arrivent à contourner la double authentification
On le sait tous, les deux conseils de base en matière de sécurité informatique lorsque nous nous connectons sur internet surtout sur des plateformes à identifiants de connexion unique, est l’activation de la double authentification, en plus de la composition d’un mot de passe assez solide. La double authentification est aussi connu sous la dénomination d’authentification forte ou encore l’authentification à double facteur. Ce n’est qu’un jeu de syntaxe. Par ailleurs, sur la majorité des plateformes numériques, commençant par les réseaux sociaux en passant par des institutions bancaires et financières en ligne jusqu’aux sites professionnels, la double authentification existe et dans certains cas est même imposée. C’est un plus en matière de protection de l’utilisateur, car en plus du mot de passe la seconde étape est notamment plus difficile à contourner.
Mais le problème avec la double authentification comme la majorité des méthodes informatiques, elle souffre de quelques insuffisances. C’est au regard de cela que BitDefender, leader en matière de solutions de sécurité informatique, a exprimé ouvertement sa désapprobation à l’usage de des SMS pour la double authentification. Seulement cela n’a pas vraiment plu à tout le monde. La firme de cybersécurité avait effectivement écrit dans un billet de blog le 15 janvier dernier qu’il fallait éviter à tout prix l’usage de l’authentification à deux facteurs via SMS.
Dans un certain sens, il est clair que l’on peut dire que l’authentification à deux facteurs n’est plus vraiment sûre que l’on peut le prétendre aujourd’hui. Cela est notamment dû à l’explosion de la méthode de piratage appelée le « Sim Swapping. ». Cette même méthode de piratage qui a permis d’hacker le compte Twitter du fondateur du réseau social en question. De façon pratique le « Sim Swapping » permet de détourner le numéro de téléphone d’une personne vers une autre carte SIM en trompant la vigilance de l’opérateur de réseau mobile. Une méthode simple est efficace, car elle marche bel et bien. Donc s’il est possible pour des pirates informatiques d’avoir accès au contenu de votre carte SIM, il est clair que vos SMS, y comprit le code de confirmation de la double authentification sont aussi à leur merci.
De ce point de vue, on comprend alors l’animosité de la société de cybersécurité à l’égard de la double authentification. Cependant le radicalisme dont elle a fait preuve dans son billet de blog a suscité bien sûr des mouvements contradictoires s’opposant à une telle l’éventualité. Mais dans le fond, la société s’est expliquée en mettant en avant le cas américain qui était ciblé exclusivement par le billet de blog. BitDefender estime que dans le pays de l’Oncle Sam, les opérateurs de téléphonie mobile sont en majorité « vulnérables aux attaques de SIM swapping et ne disposent pas de procédures adéquates pour lutter contre les pirates informatiques ». Toutefois le 21 janvier, la société de cybersécurité se rattrape à travers cette déclaration sur Twitter :
« La formulation de l’article parlant de double authentification et de SMS était mauvaise. Point barre. En tant qu’entreprise de sécurité, nous encourageons vivement tout le monde à utiliser la double authentification chaque fois que c’est possible, tout en notant que certains mécanismes de double authentification sont plus sûrs que d’autres et qu’il existe, en effet, des attaques ciblant les doubles authentifications basées sur les SMS ».
Accédez maintenant à un nombre illimité de mot de passe :