Les systèmes d’authentification à deux facteurs ne sont pas aussi infaillibles qu’ils le semblent. Un attaquant n'a pas réellement besoin de votre jeton d'authentification physique s'il peut inciter votre compagnie de téléphone ou le service sécurisé lui-même à les laisser entrer.
Une authentification supplémentaire est toujours utile. Bien que rien n'offre la sécurité parfaite que nous souhaitons tous, l'utilisation de l'authentification à deux facteurs crée plus d'obstacles pour les attaquants qui veulent vos affaires.
Votre compagnie de téléphone est un maillon faible
EN RELATION: Sécurisez-vous en utilisant la vérification en deux étapes sur ces 16 services Web
le systèmes d'authentification en deux étapes sur de nombreux sites Web fonctionne en envoyant un message à votre téléphone par SMS lorsque quelqu'un essaie de se connecter. Même si vous utilisez une application dédiée sur votre téléphone pour générer des codes, il y a de fortes chances que votre service de choix propose de permettre aux gens de se connecter en envoyant un code SMS à votre téléphone. Ou, le service peut vous permettre de supprimer la protection d'authentification à deux facteurs de votre compte après avoir confirmé que vous avez accès à un numéro de téléphone que vous avez configuré comme numéro de téléphone de récupération.
Tout cela sonne bien. Vous avez votre téléphone portable et un numéro de téléphone. Il contient une carte SIM physique qui le lie à ce numéro de téléphone auprès de votre fournisseur de téléphone portable. Tout cela semble très physique. Mais, malheureusement, votre numéro de téléphone n'est pas aussi sûr que vous le pensez.
Si vous avez déjà eu besoin de déplacer un numéro de téléphone existant vers une nouvelle carte SIM après avoir perdu votre téléphone ou simplement en avoir acheté une nouvelle, vous saurez ce que vous pouvez souvent faire entièrement par téléphone, voire en ligne. Tout ce qu’un attaquant doit faire est d’appeler le service client de votre société de téléphonie mobile et de se faire passer pour vous. Ils auront besoin de savoir quel est votre numéro de téléphone et de connaître certaines informations personnelles vous concernant. Ce sont les types de détails - par exemple, le numéro de carte de crédit, les quatre derniers chiffres d'un SSN, etc. - qui fuient régulièrement dans les grandes bases de données et sont utilisés pour le vol d'identité. L'attaquant peut essayer de faire transférer votre numéro de téléphone sur son téléphone.
Il existe des moyens encore plus simples. Ou, par exemple, ils peuvent configurer le transfert d'appel du côté de la compagnie de téléphone afin que les appels vocaux entrants soient transférés vers leur téléphone et n'atteignent pas le vôtre.
Heck, un attaquant pourrait ne pas avoir besoin d'accéder à votre numéro de téléphone complet. Ils pourraient accéder à votre messagerie vocale, essayer de se connecter à des sites Web à 3 heures du matin, puis récupérer les codes de vérification de votre boîte vocale. Quelle est la sécurité exacte du système de messagerie vocale de votre compagnie de téléphone? Dans quelle mesure votre code PIN de messagerie vocale est-il sécurisé - en avez-vous même défini un? Tout le monde n'a pas! Et, si c'est le cas, combien d'efforts faudrait-il à un attaquant pour réinitialiser le code PIN de votre messagerie vocale en appelant votre compagnie de téléphone?
Avec votre numéro de téléphone, c'est fini
EN RELATION: Comment éviter d'être verrouillé lors de l'utilisation de l'authentification à deux facteurs
Votre numéro de téléphone devient le maillon faible, permettant à votre attaquant de supprimer la validation en deux étapes de votre compte - ou recevez des codes de vérification en deux étapes - via SMS ou appels vocaux. Au moment où vous réalisez que quelque chose ne va pas, ils peuvent avoir accès à ces comptes.
C'est un problème pour pratiquement tous les services. Les services en ligne ne veulent pas que les gens perdent l'accès à leurs comptes. Ils vous permettent donc généralement de contourner et de supprimer cette authentification à deux facteurs avec votre numéro de téléphone. Cela peut vous aider si vous avez dû réinitialiser votre téléphone ou en obtenir un nouveau et que vous avez perdu vos codes d’authentification à deux facteurs, mais que vous avez toujours votre numéro de téléphone.
Théoriquement, il y a censé y avoir beaucoup de protection ici. En réalité, vous traitez avec les gens du service client des fournisseurs de services cellulaires. Ces systèmes sont souvent mis en place pour être efficaces, et un employé du service client peut ignorer certaines des mesures de protection auxquelles doit faire face un client qui semble en colère, impatient et qui possède ce qui semble être suffisamment d'informations. Votre opérateur téléphonique et son service client sont un maillon faible de votre sécurité.
Il est difficile de protéger votre numéro de téléphone. De manière réaliste, les sociétés de téléphonie cellulaire devraient fournir davantage de garanties pour rendre cela moins risqué. En réalité, vous voulez probablement faire quelque chose par vous-même au lieu d'attendre que les grandes entreprises fixent leurs procédures de service client. Certains services peuvent vous permettre de désactiver la récupération ou la réinitialisation via les numéros de téléphone et de vous en avertir abondamment - mais, s'il s'agit d'un système critique, vous pouvez choisir des procédures de réinitialisation plus sécurisées telles que les codes de réinitialisation que vous pouvez verrouiller dans un coffre-fort bancaire au cas où vous en avez jamais besoin.
Autres procédures de réinitialisation
EN RELATION: Les questions de sécurité ne sont pas sécurisées: comment protéger vos comptes
Il ne s’agit pas uniquement de votre numéro de téléphone. De nombreux services vous permettent de supprimer cette authentification à deux facteurs par d'autres moyens si vous déclarez que vous avez perdu le code et que vous devez vous connecter. Tant que vous connaissez suffisamment de détails personnels sur le compte, vous pourrez peut-être y accéder.
Essayez-le vous-même: accédez au service que vous avez sécurisé avec l’authentification à deux facteurs et faites comme si vous aviez perdu le code. Voyez ce qu'il faut pour entrer. Vous devrez peut-être fournir des informations personnelles ou répondre «questions de sécurité» non sécurisées dans le pire des cas. Cela dépend de la façon dont le service est configuré. Vous pourrez peut-être le réinitialiser en envoyant un lien vers un autre compte de messagerie, auquel cas ce compte de messagerie peut devenir un lien faible. Dans une situation idéale, il se peut que vous ayez simplement besoin d'accéder à un numéro de téléphone ou à des codes de récupération - et, comme nous l'avons vu, la partie numéro de téléphone est un maillon faible.
Voici une autre chose qui fait peur: il ne s’agit pas seulement de contourner la vérification en deux étapes. Un attaquant pourrait essayer des astuces similaires pour contourner complètement votre mot de passe. Cela peut fonctionner, car les services en ligne veulent garantir que les utilisateurs puissent à nouveau accéder à leurs comptes, même s'ils perdent leur mot de passe.
Par exemple, jetez un œil à la Récupération de compte Google système. C'est une option ultime pour récupérer votre compte. Si vous prétendez ne connaître aucun mot de passe, vous serez éventuellement invité à fournir des informations sur votre compte, comme la date à laquelle vous l'avez créé et les personnes à qui vous envoyez fréquemment des e-mails. Un attaquant qui en sait assez sur vous pourrait théoriquement utiliser des procédures de réinitialisation de mot de passe comme celles-ci pour accéder à vos comptes.
Nous n'avons jamais entendu parler d'abus du processus de récupération de compte de Google, mais Google n'est pas la seule entreprise à disposer d'outils comme celui-ci. Ils ne peuvent pas tous être totalement infaillibles, surtout si un attaquant en sait assez sur vous.
Quels que soient les problèmes, un compte avec une configuration de vérification en deux étapes sera toujours plus sécurisé qu'un même compte sans vérification en deux étapes. Mais l'authentification à deux facteurs n'est pas une solution miracle, comme nous l'avons vu avec un pistes qui abusent du plus gros maillon faible : votre compagnie de téléphone.
