IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L’authentification à deux facteurs par SMS : une passoire


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 070
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 070
    Points : 56 126
    Points
    56 126
    Par défaut L’authentification à deux facteurs par SMS : une passoire
    L’authentification à deux facteurs par SMS : une passoire
    À cause des failles du protocole de signalisation réseau SS7

    L’authentification à deux facteurs est devenue essentielle au cours des années pour sécuriser les comptes en ligne qui contiennent de plus en plus de données personnelles. C’est donc sans surprise que de nombreux services en ligne la proposent à leurs utilisateurs. S’il est conseillé de l’activer pour pouvoir dormir sur ses deux oreilles, il ne faudrait pas trop en faire pour autant. Des chercheurs en sécurité de Positive Technologies ont en effet montré comment ils peuvent s’approprier n’importe quel compte en ligne en cassant ce mécanisme de protection.

    Petite précision d’entrée de jeu : il s’agit ici d’authentification à deux facteurs par SMS. Le processus est connu ; pour activer la validation en deux étapes, l’utilisateur doit fournir un numéro de téléphone en plus de l'identifiant et du mot de passe déjà introduits lors de la création d’un compte Gmail par exemple. Une fois ce numéro vérifié, l’utilisateur peut activer l’authentification à deux facteurs par SMS sur ledit compte. La mesure permet d’éviter qu’un attaquant qui possède le nom d’utilisateur et le mot de passe du compte ne puisse accéder à ce dernier depuis son poste de travail. En effet, passé le premier rideau de protection (le couple nom d’utilisateur et mot de passe), le cybercriminel doit fournir un code envoyé par le service en ligne sur le numéro de téléphone associé au compte.

    La mesure s’avère également utile pour « récupérer » son compte dans le cas de la perte des détails du premier bouclier de protection. La plupart des services en ligne proposent alors une procédure de récupération du compte par SMS. (Concrètement, il est question que le service en ligne envoie des informations texte de récupération de compte vers le numéro lié à ce dernier.) Cet état de choses suppose en effet qu’un tiers qui a connaissance du numéro de téléphone lié au compte peut se mêler à la distance. Comment ? En exploitant les failles du protocole SS7 utilisé pour la signalisation sur les réseaux de télécommunication.

    Dans leur vidéo de démonstration, les chercheurs de Positive Technologies ont tour à tour montré comment prendre possession du compte Gmail d’un tiers puis, du portefeuille Bitcoin lié à ce dernier. Le visuel vaut mieux que mille mots…


    Le nœud du problème ici est, semble-t-il, le protocole SS7. En 2014 lors du Chaos Communication Congress à Hambourg en Allemagne, des chercheurs en sécurité ont fait état des failles qu’il exhibe. Il est connu depuis lors qu’il permet de géolocaliser des téléphones et d’intercepter des communications vocales et textuelles. « À partir du moment où vous avez accès au réseau, il n'y a quasiment plus aucun mécanisme de sécurité », expliquait alors Tobias Engel, l’un des deux chercheurs s’exprimant à ce sujet.

    L’infrastructure SS7 n’est en principe accessible qu’aux entreprises de télécommunications. Mais comme l’explique Denis Kurbatov de la firme Positive Technologies, des cybercriminels peuvent y accéder via des plateformes sur le dark web. Cet état de choses déplace le problème des cybercriminels aux opérateurs de télécommunication. Un protocole qui date des années 80 et exhibe autant de failles ne devrait plus être utilisé. En attendant que les opérateurs de télécommunications ne réagissent dans ce sens, les utilisateurs sont informés qu’ils peuvent opter pour l’authentification à deux facteurs sans SMS via des clés physiques de protection de leurs comptes en ligne ou des applications comme Google Authenticator.

    Source : Forbes

    Et vous ?

    Qu’en pensez-vous ?

    Comment expliquer que les opérateurs de télécommunication n’ont pas opéré de modifications de ce protocole depuis lors ?

    Voir aussi :

    Des chercheurs allemands découvrent une faille dans le réseau mobile qui permet d'écouter des conversations téléphoniques et d'intercepter des SMS

  2. #2
    Membre à l'essai
    Homme Profil pro
    Architect logiciel
    Inscrit en
    Avril 2013
    Messages
    14
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Architect logiciel

    Informations forums :
    Inscription : Avril 2013
    Messages : 14
    Points : 24
    Points
    24
    Par défaut C'est peut-être nouveau en France
    Je me rappelle d'avoir lu, il y a déjà plusieurs années, un article dans "Computer Bild" - revue très grand public allemand - expliquant par le menu comment casser l'authentification à deux facteurs par SMS.

    Donc pas grand chose de neuf sous les cocotiers, et les hackers peuvent s'y reposer bien à l'ombre...

Discussions similaires

  1. Réponses: 3
    Dernier message: 18/04/2013, 10h38
  2. Fusion de deux images par rapport à une ligne
    Par GabySchemoul dans le forum OpenCV
    Réponses: 8
    Dernier message: 18/04/2012, 11h14
  3. Faire une liste avec deux éléments par ligne
    Par pc.bertineau dans le forum Mise en page CSS
    Réponses: 18
    Dernier message: 12/04/2007, 14h47
  4. relier deux reseaux par une ligne telephonique?
    Par maamar1979 dans le forum Hardware
    Réponses: 2
    Dernier message: 13/09/2006, 13h41
  5. Lier deux composants par une fléche
    Par Mehdi Feki dans le forum Général JavaScript
    Réponses: 1
    Dernier message: 20/04/2006, 12h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo