🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Découvrez comment votre carte SIM pourrait protéger vos données des hackers

26 mai 2022 à 14h15
4
Carte SIM © shutterstock.com
© Shutterstock

Pour lutter contre la faiblesse de la sécurité accordée par la combinaison identifiant-mot de passe, notamment sensible aux attaques de type phishing, des solutions alternatives sont explorées.

Apple, Google et Microsoft ont l'ambition commune de supprimer les mots de passe du schéma d’authentification en ayant recours aux standards FIDO. La reconnaissance biométrique a aussi beaucoup évolué ces dernières années. Mais une autre possibilité est en train d'émerger : l'authentification basée sur la carte SIM.

La fin des mots de passe ?

Les systèmes actuels reposant sur le mot de passe sont sensibles aux attaques par force brute lorsque les mots de passe choisis sont trop faibles. Et même si ceux-ci respectent les recommandations en vigueur, reste le problème de l'hameçonnage : les campagnes de phishing sont de plus en plus sophistiquées et l'utilisateur est amené à partager de lui-même ses identifiants avec des acteurs malveillants.

L'authentification à double facteur (2FA) s'est alors imposée comme un moyen fiable de protéger ses comptes en ligne. Cette méthode accroît largement la sécurité, mais reste faillible. Elle est de plus en plus visée par les pirates, qui parviennent à la détourner. D'après une étude de chercheurs à la Stony Brook University, plus de 1 200 kits de phishing permettant d'intercepter les codes 2FA sont disponibles en ligne.

Reste l'option des clés de sécurité physiques, mais elles sont trop chères et pas assez pratiques pour le grand public.

La carte SIM comme clé de sécurité

Nous connaissons un autre objet physique, qui ne coûte pas bien cher, que tout le monde a déjà en sa possession, et qui offre des fonctions de sécurité poussées : la carte SIM.

Cela tombe bien, une API tru.ID permet désormais d'ouvrir l'authentification du réseau mobile basée sur la carte SIM aux développeurs. En d'autres termes, il est maintenant possible pour les plateformes de créer une authentification multifacteur en ayant simplement recours aux informations de la carte SIM.

Les avantages sont multiples :

  • Les tentatives de phishing seront difficiles, car la méthode utilise la combinaison du numéro de téléphone avec l'IMSI (identité internationale d'abonné mobile) de la SIM qui lui est associé. Ce dernier élément est vérifié de manière invisible, l'utilisateur n'a pas besoin de le renseigner lui-même.
  • L'expérience utilisateur n'en sera que meilleure, car le processus d'authentification sera exécuté automatiquement par le réseau mobile sans intervention humaine.

D'autres méthodes pour mettre un terme à l'hégémonie du mot de passe sont en cours d'étude et semblent également prometteuses. Il est probable qu'à terme, une seule d'entre elles parvienne véritablement à s'imposer à grande échelle.

Source : The Hacker News

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
philou44300
Et si on se fait voler son téléphone le voleur peut accéder aux sites?
Francois06
Pas faux, sauf que si il accède aux web avec, à moins qu’il soit en même temps hacker, il est localisé.<br /> Perso, je ne connais pas de hackers assez con pour voler un tel et se connecté avec.<br /> De facto, à méditer!!!
phil995511
Si la carte SIM utilisée est physique elle peut éventuellement servir à cet effet, mais en cas d’utilisation d’une eSIM (carte virtuelle) le niveau de sécurité mis en évidence par cet article baisse alors drastiquement.
lightness
Et puis bon l’opérateur qui gère votre carte SIM est loin d’être un exemple de ce qui se fait de mieux en sécurité. Concrètement c’est lui qui va accéder aux sites que vous consultez pour savoir si vous êtes conforme avec leur vision du monde pendant que vous avez le dos tourné et puis votre carte sim sera piraté à coup sûr. Ils sont déjà pas capable de se sécuriser eux-mêmes.
octokitty
Non, car ça nécessite d’avoir au moins un mot de passe fort ou un système d’identification biométrique pour pouvoir utiliser le procédé.<br /> Il y a le cas où c’est un vol à l’arraché et que le voleur maintient le téléphoné éveillé, mais dans ce cas la victime devrait rapidement informer la plateforme d’auth pour révoquer les accès. A moins de connaître la victime ciblée, la plupart des voleurs cherchera à vider la mémoire. Ce qui sera probablement trop tard car l’IMEI et le numéro de série auront été bloqués et téléphone déjà repéré.<br /> Pour le sim-swapping, le statut est vérifié en temps réel afin de vérifier si le numéro n’est pas attribué à une autre carte SIM d’après eux, à voir dans les faits.
Palou
octokitty:<br /> Il y a le cas où c’est un vol à l’arraché et que le voleur maintient le téléphoné éveillé, mais dans ce cas la victime devrait rapidement informer la plateforme d’auth pour révoquer les accès.<br /> Quand tu es en déplacement (en France ou ailleurs) et que tu n’as plus ton tél. car il vient d’être dérobé, ça va être dur d’appeler le service concerné. De plus, je ne connais pas grand monde qui connait son n° IMEI par coeur, « au mieux » il l’ont noté dans … leur téléphone volé !
octokitty
Normalement, le numéro de série et l’IMEI sont accessibles depuis le compte Google (et Apple).<br /> Si la personne dispose d’un pc portable qui n’a pas été volé, elle peut se reconnecter dans son interface Google/Apple même depuis un « réseau inconnu » genre wi-fi public d’un resto/hôtel…<br /> Par contre si elle arrive à joindre la hotline du service, comment arriveront-ils à être sûrs que ce soit bien la bonne personne, et pas une attaque type social-engineering?<br /> Je me pose aussi la question, comment leur API reconnait un remplacement récent de SIM légitime après un vol/destruction de portable d’une attaque sim-swapping…avoir une certitude et une validation de preuves prennent beaucoup de temps.
lightness
Oui et c’est pareil tu cherches à accéder à ton compte Google dans un hôtel , un bar ok mais là ton compte Google te demande alors de prouver que c’est toi qui demande d’accéder à ton compte Google… Avec ton téléphone, ta connexion biométrique et ton mot de passe. Du coup comme tu viens de te faire voler ton téléphone tu peux pas le bloquer. Ou alors tu avais ton pc portable près de toi, tu as ouvert récemment ton compte et c’est bon. Mais si tu te fais voler ton smartphone à la sortie d’un aéroport. La géolocalisation fait que Google te reconnait comme étant dans un lieu inhabituel et tu es bloqué.
Voir tous les messages sur le forum

Lectures liées

Ameli : une campagne de phishing continue sur le site de l’assurance maladie, êtes-vous concerné ?
CyberGhost propose un prix délirant sur son VPN pour les soldes !
Ce VPN propose désormais des serveurs à 10Gb/s pour des connexions plus rapides et plus stables
Soldes NordVPN : cette offre sur ce VPN est tout simplement incroyable !
Piratage : finalement le service de gestion de flux Xstream-Codes est déclaré « légal »
CyberGhost : le meilleur VPN du marché fracasse les soldes d'été !
VPN pas cher : CyberGhost, NordVPN et Surfshark sont à prix vraiment MINI !
Google alerte sur un nouveau logiciel espion, votre smartphone est-il infecté ?
Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple
Pendant les soldes, profitez d'un prix fou sur le VPN de CyberGhost
Haut de page