Une authentification supplémentaire est toujours utile. Bien que rien n'offre cette sécurité parfaite que nous souhaitons tous, l'utilisation de l'authentification à deux facteurs crée plus d'obstacles pour les attaquants qui veulent vos données.
Votre compagnie de téléphone est un maillon faible
Les systèmes d’authentification en deux étapes de nombreux sites Web fonctionnent en envoyant un message à votre téléphone par SMS lorsque quelqu'un essaie de se connecter. Même si vous utilisez une application dédiée sur votre téléphone pour générer des codes, il est fort probable que votre service de choix offre laissez les gens se connecter en envoyant un code SMS sur votre téléphone. Le service peut également vous permettre de supprimer la protection de l'authentification à deux facteurs de votre compte après avoir confirmé que vous avez accès à un numéro de téléphone que vous avez configuré en tant que numéro de téléphone de récupération.
Tout cela semble bien. Vous avez votre téléphone portable et il a un numéro de téléphone. Il contient une carte SIM physique qui le relie à ce numéro de téléphone avec votre fournisseur de téléphonie cellulaire. Tout cela semble très physique. Malheureusement, votre numéro de téléphone n’est pas aussi sécurisé que vous le pensez.
Si vous avez déjà eu besoin de transférer un numéro de téléphone existant vers une nouvelle carte SIM après avoir perdu votre téléphone ou simplement en obtenir un nouveau, vous saurez ce que vous pouvez souvent faire entièrement par téléphone - voire même en ligne. Tout ce qu’un attaquant doit faire est d’appeler le service clientèle de votre compagnie de téléphone et de prétendre être vous-même. Ils auront besoin de connaître votre numéro de téléphone et de connaître certains détails personnels vous concernant. C’est le genre de détails - par exemple, le numéro de carte de crédit, les quatre derniers chiffres d’un SSN, et d’autres - qui fuient régulièrement dans de grandes bases de données et sont utilisés pour le vol d’identité. L’attaquant peut essayer de faire transférer votre numéro de téléphone sur son téléphone.
Il y a même des moyens plus faciles. Ou bien, par exemple, ils peuvent configurer le renvoi d’appels du côté de la compagnie de téléphone afin que les appels vocaux entrants soient transférés sur leur téléphone et ne parviennent pas au vôtre.
Heck, un attaquant pourrait ne pas avoir besoin d'accéder à votre numéro de téléphone complet. Ils peuvent accéder à votre messagerie vocale, essayer de se connecter à des sites Web à 3 heures du matin, puis récupérer les codes de vérification de votre boîte vocale. Dans quelle mesure le système de messagerie vocale de votre compagnie de téléphone est-il sécurisé? Quel est le niveau de sécurité de votre code PIN de messagerie vocale - en avez-vous même défini un? Tout le monde n'a pas! Et, le cas échéant, quel effort faudrait-il pour qu'un attaquant obtienne la réinitialisation de votre code confidentiel de messagerie vocale en appelant votre opérateur téléphonique?
Avec votre numéro de téléphone, tout est fini
Votre numéro de téléphone devient le maillon faible, permettant à votre attaquant de supprimer la vérification en deux étapes de votre compte - ou de recevoir des codes de vérification en deux étapes - via SMS ou des appels vocaux. Lorsque vous réalisez que quelque chose ne va pas, ils peuvent accéder à ces comptes.
C'est un problème pour pratiquement tous les services. Les services en ligne ne veulent pas que les utilisateurs perdent l’accès à leurs comptes. Ils vous permettent donc généralement de contourner et de supprimer cette authentification à deux facteurs avec votre numéro de téléphone. Cela aide si vous devez réinitialiser votre téléphone ou en obtenir un nouveau et que vous avez perdu vos codes d’authentification à deux facteurs, mais que vous avez toujours votre numéro de téléphone.
Théoriquement, il est censé y avoir beaucoup de protection ici. En réalité, vous traitez avec le personnel du service clientèle des fournisseurs de services cellulaires. Ces systèmes sont souvent configurés pour être efficaces et un employé du service clientèle peut oublier certaines des garanties offertes à un client qui semble en colère, impatient et dispose de suffisamment d’informations. Votre compagnie de téléphone et son service clientèle constituent un maillon faible de votre sécurité.
Protéger votre numéro de téléphone est difficile. De manière réaliste, les entreprises de téléphonie cellulaire devraient prévoir davantage de mesures de protection pour rendre cela moins risqué. En réalité, vous voudrez probablement faire quelque chose par vous-même au lieu d'attendre que les grandes entreprises règlent leurs procédures de service à la clientèle. Certains services peuvent vous permettre de désactiver la récupération ou la réinitialisation via des numéros de téléphone et de la mettre en garde à profusion - mais, s’il s’agit d’un système essentiel à la mission, vous pouvez choisir des procédures de réinitialisation plus sécurisées, telles que la réinitialisation des codes. vous avez déjà besoin d'eux.
Autres procédures de réinitialisation
Il ne s’agit pas uniquement de votre numéro de téléphone. De nombreux services vous permettent de supprimer cette authentification à deux facteurs de différentes manières si vous prétendez avoir perdu le code et que vous devez vous connecter. Tant que vous connaissez suffisamment de détails personnels sur le compte, vous pourrez peut-être entrer.
Essayez vous-même - accédez au service que vous avez sécurisé avec une authentification à deux facteurs et faites comme si vous aviez perdu le code. Voyez ce qu'il faut faire pour entrer. Vous devrez peut-être fournir des informations personnelles ou répondre à des «questions de sécurité» non sécurisées dans le pire des cas. Cela dépend de la configuration du service. Vous pourrez peut-être le réinitialiser en envoyant un lien par courrier électronique à un autre compte de messagerie, auquel cas ce compte de messagerie risque de devenir un lien faible. Dans l’idéal, vous aurez peut-être simplement besoin d’un numéro de téléphone ou de codes de récupération et, comme nous l’avons vu, le numéro de téléphone est un maillon faible.
Voici quelque chose d’autre effrayant: il ne s’agit pas uniquement de contourner la vérification en deux étapes.Un attaquant pourrait essayer des astuces similaires pour contourner entièrement votre mot de passe. Cela peut fonctionner car les services en ligne veulent que les utilisateurs puissent retrouver l'accès à leurs comptes, même s'ils perdent leurs mots de passe.
Par exemple, consultez le système de récupération de compte Google. Ceci est une option ultime pour récupérer votre compte. Si vous déclarez ne connaître aucun mot de passe, des informations sur votre compte vous seront éventuellement demandées, par exemple lorsque vous l'avez créé et à qui vous envoyez fréquemment des courriels. Un attaquant qui en sait assez sur vous pourrait théoriquement utiliser des procédures de réinitialisation de mot de passe comme celles-ci pour accéder à vos comptes.
Nous n'avons jamais entendu parler du processus de récupération de compte de Google, mais Google n'est pas la seule entreprise à proposer des outils de ce type. Ils ne peuvent pas tous être totalement infaillibles, surtout si un attaquant en sait assez sur vous.
Quels que soient les problèmes, un compte configuré avec une vérification en deux étapes sera toujours plus sécurisé qu'un même compte sans vérification en deux étapes. Mais l’authentification à deux facteurs n’est pas une solution miracle, comme nous l’avons vu avec des attaques qui abusent du plus grand maillon faible: votre opérateur téléphonique.
