La défaillance majeure de la sécurité SMS est un rappel pour utiliser les applications d’authentification

Une récente violation de données a mis à jour une base de données d’environ 26 millions de SMS contenant des informations personnelles sur les clients, rapporte TechCrunch. En plus des problèmes de confidentialité, la violation met également en évidence les risques liés à l’utilisation de messages SMS pour la réception de codes d’authentification à deux facteurs ou de liens de réinitialisation de compte, qui permettent de visualiser des informations sensibles envoyées sur une plate-forme de communication non cryptée.

Sébastien Kaul, chercheur en sécurité basé à Berlin, a découvert que la base de données gérée par Vovox était détectable, non protégée et facilement consultable à la fois pour les noms et les numéros de téléphone. Comme le serveur était toujours actif après la découverte de la brèche, tout le monde aurait pu surveiller un flux de données en temps quasi réel pour rechercher le code d’authentification à deux facteurs pertinent envoyé après avoir tenté de se connecter au compte de quelqu’un d’autre. Après avoir été contacté par TechCrunch, Vovox a supprimé la base de données, qui contenait des messages texte envoyés à des clients d’entreprises telles que Google, Amazon et Microsoft.

Des applications comme Google Authenticator ou 1Password sont beaucoup plus pratiques et sécurisées

L’authentification à deux facteurs est l’un des meilleurs moyens de protéger vos comptes contre le détournement. Même si quelqu’un a votre nom d’utilisateur et votre mot de passe, il ne pourra pas se connecter sans ce deuxième code. S’il est courant que les sites Web et les services envoient un SMS à ce numéro (ce qui signifie que seule une personne ayant accès à votre téléphone peut se connecter), une telle violation (ou le piratage de plus en plus fréquent de la carte SIM) permettrait à un pirate informatique de voir le code envoyé. votre téléphone et utilisez-le pour vous connecter à votre compte.

En revanche, utiliser une application d’authentification telle que Google Authenticator ou 1Password (avec son générateur de code 2FA intégré) est beaucoup plus pratique et sécurisé. Ces applications sont complètement autonomes, ce qui signifie qu’aucune donnée sensible ne doit leur être envoyée. Cela leur confère également l’avantage de leur permettre de fonctionner lorsque votre téléphone ne dispose pas d’une connexion cellulaire active. De plus en plus, les clés matérielles gagnent en popularité, Google signalant qu’aucune attaque d’hameçonnage n’a réussi depuis que les clés de sécurité matérielles sont obligatoires pour ses employés. Malheureusement, dans certains cas, vous aurez toujours besoin de recourir à SMS en tant que sauvegarde de sécurité, mais cette solution ne doit être utilisée qu’en dernier recours pour minimiser votre exposition à de telles violations.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *