dans

Le crash de Facebook laisse une leçon importante: le SMS ne sert pas de système d’authentification en deux étapes

533 millions d’utilisateurs ont été «nus». La dernière fuite scandaleuse de données des utilisateurs de Facebook est la énième démonstration de la façon dont une entreprise négligente met en péril non seulement notre vie privée, mais aussi notre sécurité et même nos économies.

Les données divulguées exposent désormais des millions d’utilisateurs à des attaques d’usurpation et à d’autres cyberattaques ciblées. Le danger est énorme, et ce nouveau crash Facebook est le dernier avertissement sur un sujet sensible: Le SMS n’est pas une bonne méthode d’authentification en deux étapes.

Avoir peur. Très peur.

Notre dépendance au monde numérique augmente et, bien que les avantages de la révolution mobile soient évidents, ils laissent également des effets secondaires désagréables.

Jusqu’à récemment, une protection unique (nom d’utilisateur / mot de passe) semblait suffire, mais vol massif de mots de passe et mauvaises pratiques par les utilisateurs (utiliser et réutiliser ‘123456’ comme mot de passe est une idée atroce) a rendu l’authentification en deux étapes (2FA) beaucoup plus recommandable lorsqu’il s’agit de protéger les comptes dans tous les types de services.

Cela ne valait plus la peine d’entrer simplement le nom d’utilisateur et le mot de passe. Désormais, vous deviez également vérifier votre identité avec un mot de passe, généralement un code PIN qui il vous est parvenu par SMS sur votre mobile.

L’idée était fantastique … du moins c’est ce qu’il semblait. Seulement nous sommes (théoriquement) au pouvoir de notre mobile, de sorte que le code PIN Cela ne pouvait que nous atteindre, non?

Non.

Dans les fuites telles que celles qui se sont produites avec Facebook, les données ne sont plus uniquement des listes d’e-mails et des mots de passe associés. Dans ces données les noms complets viennent, les numéros de téléphone portable —Vous voulez le supprimer—, mais aussi le sexe et l’emplacement de ces utilisateurs. La menace posée par ces données est absolument énorme.

A lire :  Adrozek, le malware détecté par Microsoft qui affecte Chrome, Edge et d'autres navigateurs en Europe et dans certaines régions d'Asie

La réponse de Facebook au vol a été stupéfiante, car sa philosophie est celle de l’inaction. Ils n’ont pas l’intention de notifier les utilisateurs concernés, qui peut encore savoir s’ils font partie de la fuite grâce au service réputé HaveIBeenPwned. Un changement récent de ce service nous permet non seulement de savoir si notre courrier électronique a été divulgué, mais aussi si notre numéro de mobile et le reste des données associées à ces paramètres l’ont fait.

Que peuvent faire les «méchants» avec les données divulguées par Facebook?

C’est parce que toutes ces données donnent aux cybercriminels une occasion en or de mener toutes sortes d’attaques ciblées, tellement de phishing (avec des e-mails que quelqu’un que nous connaissons nous envoie, « hé, maintenant je peux me faire confiance ») comme l’usurpation d’identité.

Il n’est pas difficile d’imaginer que ces données pourraient être utilisées par un criminel pour usurper notre identité et réaliser par exemple un duplicata de notre carte SIM. Le changement de carte SIM dérangeant est à l’ordre du jour, et si nous sommes victimes d’une telle attaque nous serons dans une vraie impasse, car du coup notre mobile cessera de fonctionner et l’attaquant en profitera pour pouvoir faire toutes sortes de choses. des opérations utilisant ce mobile.

Il sera celui qui recevra le code PIN pour effectuer ce virement bancaire ou effectuer cet achat sur Amazon, pas vous, mais ce sera toi qui paie le canard (et la facture).

Les conséquences dangereuses d’un vol de données comme celui-ci sont insondables et peuvent également conduire à autres attaques d’ingénierie sociale qui permettent à d’autres personnes de collecter encore plus de données auprès de nous ou de nous convaincre de leur envoyer notre pièce d’identité (n’y pensez même pas), et encore une fois, les conséquences de ces erreurs peuvent être fatales.

Dites adieu aux SMS comme méthode d’authentification en deux étapes

Je suis un peu lourd là-dessus. Je l’ai dit il y a cinq ans et je l’ai répété l’année suivante. Protéger vos comptes avec une authentification en deux étapes est une excellente idée, mais le faire avec SMS n’est pas tellement.

A lire :  WhatsApp supprimera votre compte si vous faites cela

Fido

C’est certain Le SMS vaut mieux que rien. Ça l’est vraiment. Le problème est que cette dernière catastrophe que nous avons vue sur Facebook met en évidence que ces numéros de mobiles ne sont plus aussi sécurisés (ce que nous savions déjà depuis longtemps), et que il existe de bien meilleures alternatives lors de la mise en œuvre des systèmes 2FA.

Qui? Pour commencer, applications mobiles spécifiques dans ce but. Il en existe plusieurs populaires – Google Authenticator, Microsoft Authenticator, Authy … – mais ils sont rejoints par d’autres méthodes encore plus sécurisées comme les dispositifs d’authentification physique, souvent sous la forme de « clés USB ».

Des experts en cybersécurité et même des organisations comme Amnesty International recommandent ces «jetons physiques». Le plus connu ils sont probablement de YubikeyMais il existe de nombreuses autres alternatives, y compris celles de Titan que Google a développées il y a longtemps.

Les solutions sont là, mais l’industrie est toujours ancrée dans le SMS

Nous savons quel est le problème et nous savons qu’il existe des solutions pour (au moins) l’atténuer, alors, que se passe-t-il? Pourquoi ces types d’alternatives ne réussissent-ils pas sur le marché?

Ing

En premier lieu, pour la condamnation du confort et de la commodité. Les SMS sont déjà une vieille connaissance qui favorise l’accessibilité à ces systèmes d’authentification en deux étapes. Cette technologie fait partie de nos mobiles, l’utilisateur n’a rien à faire pour en profiter et aussi, il la connaît et lui fait confiance (même s’il ne devrait peut-être pas en faire autant).

L’utilisation de méthodes plus sûres comme celles mentionnées nécessite un changement et des efforts, quelque chose que les humains n’aiment pas beaucoup. Peu importe si le bénéfice est clair: nous résistons au changement, et devoir installer une nouvelle application mobile et l’utiliser sur nos appareils «avec la qualité des SMS» devient difficile.

Mais en réalité le vrai problème est avec l’industrie, qui est toujours absolument ancrée dans les SMS. Sauf dans le cas de certains services spécifiques, il existe de nombreux scénarios dans lesquels la prise en charge d’applications comme Google Authenticator (sans parler des clés de sécurité de type Yubikey) est un anathème pour les entreprises.

A lire :  Huawei vendra Honor pour environ 13000 millions d'euros au gouvernement de Shenzhen et à l'un des plus grands distributeurs chinois, selon .

L’exemple le plus clair et le plus délicat sont les banques: Je te souhaite bonne chance en essayant d’en trouver un qui fonctionne avec l’une des alternatives mentionnées, parce que (du moins que je sache) il n’y en a pas. Ils savent que ces types de systèmes existent, mais à partir de là pour les mettre en œuvre dans un demi-monde.

Les grands de la technologie sont ceux qui peu à peu commencer à intégrer ces systèmes dans leurs services. Le projet FIDO2 / WebAuthn de la FIDO Alliance et le protocole U2F (Universal 2nd Factor) qui promeuvent des solutions telles que celles proposées par Yubikey sont progressivement soutenus par de plus en plus de services, et bien que beaucoup soient intéressants en raison de leur rôle potentiel d’intermédiaires de une expansion massive de ces technologies, la vérité est que le SMS gouverne notre monde en ce moment.

Soyez prudent là-bas.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂

  • TRES Kit de douche thermostatique et encastré BLOCK SYSTEM avec fermeture et réglage du débit (2 voies) - TRES 20725202NE Noir/Chromé
    Kit de douche thermostatique et encastré BLOCK SYSTEM avec fermeture et réglage du débit (2 voies). · Corps encastré thermostatique inclus. · Douche mural acier inoxydable 210x550 mm. · Douchette anticalcaire. · Flexible. - TRES 20725202NE
  • TRES Robinetterie électronique cuisine une seule eau TOUCH‑TRES Système sensible au toucher. Ne pas appuyer. - TRES 161445
    Robinetterie électronique cuisine une seule eau TOUCH‑TRES Système sensible au toucher. Ne pas appuyer. - TRES 161445
  • TRES Kit de douche thermostatique BLOCK SYSTEM avec fermeture et réglage du débit. (2 voies) - TRES 20735202NE Noir/Chromé
    Kit de douche thermostatique BLOCK SYSTEM avec fermeture et réglage du débit. (2 voies). · Corps encastré thermostatique inclus · Douche mural acier inoxydable 210x550 mm. (299.903.07). · Douchette anticalcaire. · Flexible. - TRES 20735202NE