Pourquoi utiliser une application d'authentification plutôt qu'un SMS ?

L'authentification à deux facteurs (2FA) est devenue impérative dans le monde numérique d'aujourd'hui, car les pirates ont appris à compromettre de très nombreux types de mots de passe. Bien que la double validation basée sur un code reçu par SMS soit toujours mieux que rien, les applications d'authentification ont de nombreux avantages car elles offrent des protections plus solides contre les acteurs malveillants qui cherchent à pirater vos comptes en ligne.

L'abandon par Twitter des SMS de 2FA a suscité pas mal de controverse et a ouvert une fenêtre d'opportunité pour inonder les App Stores d'applications 2FA frauduleuses.

Twitter a déclaré en février que les escrocs abusaient de la 2FA basée sur les numéros de téléphone. Le PDG Elon Musk lui-même a fait valoir que la 2FA basée sur les SMS était non seulement peu sûre, mais également un gâchis.

Quel que soit votre avis sur cet échange, l'authentification multifactorielle par SMS présente de nombreuses faiblesses que les cybercriminels exploitent.

Faiblesses du SMS

L'échange de carte SIM (SIM swapping) est l'un des meilleurs exemples de la façon dont un voleur peut contourner la 2FA et vider le compte bancaire ou le portefeuille crypto d'un utilisateur. En 2018, l'investisseur en crypto Michael Terpin - le fondateur et PDG de Transform Group - s'est fait escroquer près de 24 millions de dollars par un adolescent qui a intercepté les codes 2FA envoyés à son numéro.

Les acteurs de la menace utiliseront des fuites de données, des archives publiques ou l'ingénierie sociale pour obtenir votre numéro de téléphone, puis soudoieront ou manipuleront un employé de l'opérateur pour transférer votre numéro sur une le double d'une carte SIM qu'ils contrôlent. Cela leur permet de recevoir vos codes de vérification par SMS et de pénétrer dans vos différents comptes en ligne.

L'hameçonnage par SMS, ou smishing, est une autre méthode populaire utilisée par les fraudeurs pour voler des codes de vérification et accéder au compte d'une personne.

La technique peut également faciliter l'extorsion, comme ce fut le cas de Dennis Su, 20 ans, qui a utilisé des fichiers volés que des pirates ont mis en ligne pour envoyer des SMS à des personnes menaçant de compromettre leur identité à moins qu'elles ne transfèrent 2 000 dollars sur son compte bancaire.

Il est également important de savoir que les messages SMS sont transmis sur des canaux non chiffrés, ce qui signifie qu'ils peuvent être interceptés et lus par toute personne motivée à intercepter le message.

Bien sûr les messages SMS peuvent être facilement lus par toute personne ayant un accès physique au téléphone de la victime. De plus, il n'y a aucun moyen d'empêcher ou de contrôler l'endroit où le SMS est envoyé, et le 2FA par SMS peut parfois être lent ou trop aléatoire quant au délai d'expiration du code, donnant aux attaquants de nombreuses possibilités d'exploiter cette faiblesse.

Avantages de l'utilisation d'une application d'authentification dédiée

Les applications d'authentification ne sont pas seulement plus rapides et plus fiables que le SMS, elles appliquent également une couche de sécurité supplémentaire, comme un code d'accès, un mot de passe ou la biométrie (c'est-à-dire une empreinte digitale ou faciale, selon votre modèle de smartphone).

Les applications d'authentification fonctionnent localement, ce qui signifie qu'il n'y a aucun moyen pour un attaquant d'intercepter vos codes - à moins qu'il ne vous ait infecté avec un logiciel malveillant voleur de données, mais c'est une autre affaire.

Une application d'authentification affichera un compte à rebours clair pour vos codes et en générera de nouveaux à l'expiration du délai, ce qui rendra difficile l'interception de ces codes sans accès physique à votre téléphone.

Plus important encore, les applications d'authentification ne présentent aucune des faiblesses du SMS.

Comme mentionné ci-dessus, les applications d'authentification frauduleuses peuvent être un problème, alors n'utilisez qu'une application d'authentification de confiance comme celle de Google ou de Microsoft. Les utilisateurs d'Apple peuvent également opter pour l'authentificateur intégré d'iOS. L'outil d'Apple n'est peut-être pas aussi intuitif que les applications d'authentification autonomes, mais il reste fiable et sécurisé.

Notez que l'authentification multifactorielle ne protège pas contre les logiciels malveillants, alors pensez à utiliser une solution de sécurité dédiée sur vos appareils personnels, y compris votre téléphone.