Tout d'abord, les SMS sont encore mieux que pas d'authentification à deux facteurs!
Même si nous allons exposer les arguments contre les SMS ici, il est important de clarifier une chose: utiliser SMS est mieux que de ne pas utiliser l’authentification à deux facteurs.
Lorsque vous n'utilisez pas l'authentification à deux facteurs, il vous suffit de saisir votre mot de passe pour vous connecter à votre compte. Lorsque vous utilisez l'authentification à deux facteurs avec SMS, quelqu'un doit à la fois acquérir votre mot de passe et accéder à vos messages texte pour pouvoir accéder à votre compte. SMS est beaucoup plus sécurisé que rien du tout.
Si SMS est votre seule option, veuillez utiliser SMS. Toutefois, si vous souhaitez savoir pourquoi les experts en sécurité recommandent d'éviter les SMS et ce que nous recommandons à la place, lisez la suite.
Les échanges de cartes SIM permettent aux agresseurs de voler votre numéro de téléphone
Voici comment fonctionne la vérification par SMS: lorsque vous essayez de vous connecter, le service envoie un message texte au numéro de téléphone mobile que vous leur avez précédemment fourni. Vous obtenez ce code sur votre téléphone et entrez-le pour vous connecter. Ce code n'est utile que pour un usage unique.
Si quelqu'un connaît votre numéro de téléphone et peut accéder à des informations personnelles telles que les quatre derniers chiffres de votre numéro de sécurité sociale - malheureusement, cela est facile à trouver grâce aux nombreuses sociétés et agences gouvernementales qui ont divulgué des données clients - ils peuvent contacter votre téléphone société et déplacez votre numéro de téléphone vers un nouveau téléphone. C'est ce que l'on appelle un «échange de carte SIM». Il s'agit du même processus que lorsque vous achetez un nouvel appareil et que vous y déplacez votre numéro de téléphone. La personne dit qu’elle est vous, fournit les données personnelles et votre opérateur de téléphonie mobile configure son téléphone avec votre numéro de téléphone. Ils recevront les codes de message SMS envoyés à votre numéro de téléphone sur leur téléphone.
Nous avons vu des informations faisant état de ce qui se passe au Royaume-Uni, où des assaillants ont volé le numéro de téléphone d'une victime et l'ont utilisé pour accéder à son compte bancaire. L'État de New York a également mis en garde contre cette arnaque.
À la base, il s’agit d’une attaque d’ingénierie sociale qui consiste à tromper votre compagnie de téléphone cellulaire. Mais votre opérateur de téléphonie mobile ne devrait pas pouvoir fournir d’abord un accès à vos codes de sécurité!
Les messages SMS peuvent être interceptés de nombreuses façons
Les pirates ont également abusé des problèmes de SS7, le système de connexion utilisé pour l'itinérance, pour intercepter les messages SMS sur le réseau et les acheminer ailleurs. Les messages peuvent être interceptés de nombreuses autres manières, notamment en utilisant de fausses tours de téléphonie cellulaire. Les messages SMS n’ont pas été conçus pour la sécurité et ne doivent pas être utilisés pour cela.
En d’autres termes, un attaquant sophistiqué disposant de quelques informations personnelles pourrait détourner votre numéro de téléphone pour accéder à vos comptes en ligne, puis utiliser ces comptes pour tenter de vider vos comptes bancaires, par exemple. C’est pourquoi l’Institut national de la normalisation et de la technologie ne recommande plus l’utilisation de messages SMS pour une authentification à deux facteurs.
L'alternative: générer des codes sur votre appareil
Un schéma d’authentification à deux facteurs qui ne repose pas sur SMS est préférable, car l’opérateur de téléphonie mobile ne pourra pas donner à quelqu'un d'autre l'accès à vos codes. L'option la plus populaire pour cela est une application telle que Google Authenticator. Cependant, nous recommandons Authy, car il fait tout ce que Google Authenticator fait et plus encore.
Des applications comme celle-ci génèrent des codes sur votre appareil. Même si un attaquant persuadait votre opérateur de téléphonie mobile de transférer votre numéro de téléphone sur leur téléphone, il ne pourrait pas obtenir vos codes de sécurité. Les données nécessaires pour générer ces codes resteraient en sécurité sur votre téléphone.
Il existe également des jetons matériels physiques que vous pouvez utiliser. De grandes entreprises telles que Google et Dropbox ont déjà implémenté un nouveau standard pour les jetons d’authentification à deux facteurs basés sur du matériel, appelé U2F. Celles-ci sont toutes plus sûres que de compter sur votre opérateur de téléphonie mobile et sur le réseau téléphonique obsolète.
Si possible, évitez les SMS pour une authentification à deux facteurs. C’est mieux que rien et cela semble pratique, mais c’est généralement le schéma d’authentification à deux facteurs le moins sécurisé que vous pouvez choisir.
Malheureusement, certains services vous obligent à utiliser les SMS. Si cela vous inquiète, vous pouvez créer un numéro de téléphone Google Voice et l’attribuer aux services nécessitant une authentification SMS. Vous pouvez ensuite vous connecter à votre compte Google (que vous pouvez protéger avec une méthode d'authentification à deux facteurs plus sécurisée) et voir les messages sécurisés sur le site Web ou l'application Google Voice. Il suffit de ne pas transférer les messages de Google Voice vers votre numéro de téléphone portable actuel.