dans hygiène informatique

Parmi toutes les révolutions d’usage engendrées par les smartphones, on peut noter la démocratisation de l’authentification à deux facteurs (2FA). Cette méthode consiste à vous identifier une seconde fois en saisissant un code unique, temporaire et limité dans le temps. Les deux manières les plus courantes sont la réception d’un SMS, plus commode, ou la génération par une application (à préférer) comme Google Authenticator ou FreeOTP (open source).

L’objectif est de mieux protéger vos comptes face à l’échec du mot de passe, jugé majoritairement trop faible. En cause le non-suivi des règles de sécurité (un mot de passe fort et unique). Mark Zuckerberg en a par exemple lui-même subit les conséquences en juin 2016. En outre, l’authentification à deux facteurs ajoute une nouvelle barrière aux attaques de vol de mot de passe (via une attaque man-in-the-middle, un phishing, …). Il est donc vivement conseillé de l’activer sur tous les sites qui vous le proposent.

Pour autant, les attaques n’ont pas entièrement disparu. Elles se sont au contraire sophistiquées. Durant la Chaos Communication Congress 2014, deux chercheurs ont montré qu’il était très facile de récupérer la géolocalisation d’un téléphone, mais également de rerouter les SMS et les appels de n’importe quel numéro connu vers un autre numéro de téléphone. Ces exploits ont mis en valeur les faiblesses de Signaling System #7 (SS7), la famille de protocoles de signalisation téléphonique utilisée par la grande majorité des opérateurs. Selon Le Monde, certains documents soustraits à la NSA par Edward Snowden suggèrent même que l’agence de renseignement américaine profite des faiblesses de SS7. Ces vulnérabilités sont encore présentes aujourd’hui.

Bien que la réalisation d’une telle attaque ne soit pas à la portée de tous, elle reste néanmoins tout à fait réalisable. En mai dernier, certains clients de l’opérateur allemand O2-Telefonica ont vu leur compte bancaire piraté, grâce à l’interception de SMS envoyés lors d’une authentification à double facteurs. Ainsi, tant que l’exploit reste possible, il est préférable de privilégier une autre méthode aux SMS.

L’option d’une application qui génère des codes est la mieux conseillée. Vous pouvez également opter pour des systèmes 2FA physiques plus robustes comme une clef USB. Comptez 10 à 60€, selon la qualité et fonctionnalités.