Microsoft s'en prend à l'authentification multifacteur via réseau mobile

13 novembre 2020 à 15h40
7

Face à la multiplication des cyberattaques, Microsoft, comme les autres grandes sociétés, encourage les utilisateurs à activer l'authentification par deux facteurs. Toutefois, la multinationale explique que l'envoi des codes par SMS est particulièrement vulnérable.

L'authentification par deux facteurs est aujourd'hui quasi généralisée. Pour s'identifier, le dispositif propose non seulement de saisir son mot de passe mais également un code à usage unique sur les terminaux qui ne sont pas reconnus comme étant des appareils de confiance.

La vulnérabilité des codes par SMS

Lorsque l'utilisateur souhaite se connecter à un compte internet protégé par une authentification à deux facteurs sur un ordinateur public, il a généralement le choix pour recevoir ce code à usage unique. Ce dernier peut être généré par une application telle que Microsoft Authenticator, Authy, FreeOTP Authenticator ou Google Authenticator. Ce code peut également être envoyé sur sa boîte mail. Enfin, il peut également être envoyé par SMS, voire dicté par téléphone.

Dans ces deux derniers cas, selon Alex Weinert, directeur du département Identité et Sécurité chez Microsoft, les SMS et les appels sont transmis en clair. Cela signifie qu'ils peuvent être interceptés. Sur Tor, un service facturé à 500 dollars par mois permet d'exploiter des failles du réseau téléphonique afin d'intercepter les communications.

Il existe en outre des appareils vendus illégalement dans le seul but de collecter les IMSI afin d'identifier un utilisateur sur un réseau de téléphonie mobile. Le numéro IMEI permet quant à lui de récupérer la position géographique du téléphone. Couplé à un logiciel tel que FISHHAWK ou PORPOISE, il est alors possible de récupérer les messages et d'en envoyer depuis ces téléphones.

L'envoi d'un code à usage unique par SMS est également vulnérable à l'appréciation humaine de l'opérateur téléphonique. La technique du SIM swapping vise à recueillir un maximum d'informations sur la victime et de convaincre l'opérateur de migrer la ligne vers une seconde carte SIM en prétendant avoir perdu son téléphone. Lorsque la technique est en place, les codes à usage uniques sont donc envoyés vers un autre téléphone détenu par le hacker.

Microsoft conseille d'opter pour une autre méthode

Alex Weinert explique que les techniques de hacking ciblant les SMS et les appels téléphoniques tendent à se multiplier, ce qui en fait la technique la plus vulnérable aujourd'hui pour une authentification par deux facteurs.

Dans un billet de blog publié l'année dernière, il expliquait que les codes générés par des appareils électroniques constituaient la méthode la plus fiable. Sur le marché, nous retrouvons par exemple YubiKey ou Google Titan.

Si, toutefois, vous ne souhaitez pas investir, mieux vaut donc opter pour une application générant des codes temporaires automatiquement.

Source : Zdnet US

Soyez toujours courtois dans vos commentaires et respectez le réglement de la communauté.

7
7
Voir tous les messages sur le forum

Actualités récentes

Black Friday : les meilleurs bons plans et promos high-tech en DIRECT
Black Friday : le TOP des offres Amazon et Cdiscount à saisir avant minuit 🔥
Black Friday : les 3 meilleures offres de PC portables en promotion
La souris gamer Razer Naga Trinity à prix cassé avec le Black Friday Fnac
Black Friday : offrez une enceinte JBL Xtreme 2 Gun Metal à -50% à la Fnac
Black Friday Amazon : l'iPhone SE 64 Go est 40 € moins cher 🔥
L'aventure lunaire : un défi des années 2020
Black Friday : Le smartphone Xiaomi Redmi Note 9 Pro au meilleur prix jamais vu
La manette Xbox Series bleue baisse de prix sur Amazon pour le Black Friday
Black Friday : meilleur prix jamais vu sur ce casque Sennheiser HD 599 sur Amazon
Haut de page