Si vous avez déjà dû mettre un code qui vous vient par SMS après avoir introduit votre mot de passe, vous avez utilisé le Authentification de deux facteurs basée sur SIM. ETest un moyen de protéger vos comptes au-delà de la combinaison d'utilisateurs et de mot de passe typiques.
Mais, bien qu'il semble sûr (et dans de nombreux cas, il l'est), il est pratique de savoir comment cela fonctionne vraiment, quels avantages il offre et, surtout, quels sont ses points faibles. Parce que tout ce qui semble sûr n'est pas à la fois si vous ne savez pas ce que vous vous rétablissez.
Qu'est-ce que l'authentification dans deux facteurs ou 2FA et pourquoi est-ce nécessaire
Commençons par le Basicom, et c'est pour expliquer ce que c'est. L'authentification dans deux facteurs, également connue sous le nom de 2FA (pour son acronyme dans l'authentification en anglais à deux facteurs), est un système qui ajoute une deuxième couche de sécurité au processus de connexion. Au lieu de faire confiance uniquement dans le mot de passe, qui peut être volé, filtré ou deviner, une deuxième étape que vous pouvez terminer est requise. C'est-à-dire, Bien que quelqu'un ait votre clé, il ne pourra pas saisir votre compte sans passer également cette deuxième barrière.
Cette deuxième étape peut prendre plusieurs formulaires: un code de vérification, une application d'authentification, une empreinte digitale, une clé de sécurité physique, etc. Et c'est là que le gars qui nous intéresse aujourd'hui vient aujourd'hui: l'authentification dans deux facteurs basés sur SIM. C'est, en réalité, l'une des plus courantes, car la plupart des plateformes (banques, réseaux sociaux, services de messagerie …) permettent d'envoyer ce deuxième code par SMS. Et puisque tout le monde a un mobile, rien n'est nécessaire pour installer ou configurer de grandes choses.
Pourquoi s'appelle-t-il “basé sur SIM”?
Très simple: Parce que le code de vérification arrive par SMS ou SMS au numéro de téléphone associé à votre carte SIM. Et cette carte SIM est installée sur votre mobile, Ce qui fait, en théorie, vous seul avez un accès physique à ces messages.
Cette forme d'authentification a le grand avantage de la simplicité. Il est facile à activer, ne nécessite pas de connaissances techniques et, dans la plupart des cas, il fonctionne sans avoir besoin de connexion Internet. Le service vous envoie un code d'utilisation unique par SMS et vous le présentez dans la plate-forme pour terminer l'accès.
L'authentification de deux SIM est-elle basée?
C'est là que la chose devient intéressante. Pendant des années, l'authentification SMS est la norme pour améliorer la sécurité. C'est mieux que tout, c'est clair. Mais au fil du temps, Ils ont été découverts des échecs et des vulnérabilités qui ont conduit de nombreux experts en cybersécurité à recommander des alternatives plus fortes.
L'un des principaux risques est appelé échange de sim ou usurpation d'identité. Il s'agit d'une technique qui consiste en un attaquant amener votre opérateur téléphonique à transférer votre numéro vers une autre carte SIM qu'il contrôle. De là, tout code qui atteint votre numéro par SMS, il le reçoit. Et si vous avez déjà votre mot de passe (obtenu par une filtration, un phishing ou toute autre manière), vous pouvez accéder à votre compte sans problème. En d'autres termes: l'attaquant devient «vous» pour tout service que vous utilisez.
En plus, Les messages SMS ne sont pas cryptés, ce qui signifie que si quelqu'un a accès au réseau mobile (par exemple, via une fausse antenne ou une attaque plus sophistiquée), il peut les intercepter. Ce n'est pas quelque chose qui se produit tous les jours, mais c'est techniquement possible.
Et enfin, le vol physique du mobile est également une menace. Si quelqu'un parvient à déverrouiller votre téléphone, il aura accès à la fois à vos messages et à vos applications, y compris ceux qui dépendent de 2FA par SMS. Par conséquent, il est toujours important d'avoir un bloc d'écran solide configuré (broche, motif, empreinte ou visage).
Alors, dois-je arrêter d'utiliser l'authentification SMS?
Dépend. Si l'alternative ne consiste à utiliser aucun type d'authentification en deux étapes, mieux utiliser le SMS. Même avec ses limites, il s'agit toujours d'une couche de sécurité supplémentaire qui peut vous protéger de nombreux accès non autorisés. Le problème survient lorsque vous lui faites trop confiance sans connaître ses limites.
La recommandation générale aujourd'hui est que, si vous le pouvez, vous optez pour des méthodes plus robustes, telles que les applications d'authentification (Google Authenticator, Microsoft Authenticator, Authy …) ou des clés de sécurité physique (telles que YuBico ou Titan). Ces options ne dépendent pas de l'opérateur mobile ou téléphonique, et sont donc beaucoup moins vulnérables aux attaques telles que l'échange de sim.
Cela dit, De nombreux services (en particulier la banque ou le gouvernement) continuent d'utiliser le SMS comme méthode de vérification par défaut, Surtout dans les environnements où vous ne pouvez pas supposer que tous les utilisateurs installeront des applications supplémentaires. Dans ces cas, l'important est de savoir quels sont les risques et d'agir avec la tête.
Bonnes pratiques si vous utilisez 2FA basé sur SIM
Si vous décidez de continuer à utiliser cette méthode ou si vous n'avez pas le choix, il existe certaines mesures que vous pouvez prendre pour minimiser les risques:
D'abord, Contactez votre opérateur et demandez si vous pouvez bloquer les modifications SIM sans vérification supplémentaire. Certaines entreprises permettent d'établir une broche supplémentaire ou même de nécessiter une identification face à face pour modifier la carte SIM.
DeuxièmeOu, gardez votre compte de messagerie bien protégé. De nombreuses attaques commencent autour et si un attaquant prend le contrôle de votre e-mail, vous pouvez demander le changement de mot de passe de presque tous les services. Utilisez 2FA dans le courrier, et si cela peut être, pas par SMS.
Troisième, Restez vigilant à tout appel suspect ou étrange qui dit être de votre compagnie de téléphone. Si quelqu'un essaie de vous convaincre de donner des données ou des codes personnels, il pourrait préparer une attaque d'identité SIM.
Et bien sûrUtilisez des mots de passe forts et uniques. Si vous combinez un bon mot de passe avec une deuxième étape d'authentification, même si l'une des deux échecs, l'autre peut vous sauver.
Cette méthode a-t-elle un avenir?
À court terme, oui. De nombreuses plates-formes continuent de parier sur SMS comme solution d'entrée pour les utilisateurs moins avancés. Mais à moyen et long terme, le secteur se tourne clairement vers des formes d'authentification plus sûres et plus modernes. En fait, des services tels que Twitter ou GitHub ont déjà commencé à restreindre l'utilisation de 2FA par SMS dans certains comptes, ou même à l'éliminer si un abonnement n'est pas payé.
Le futur indique les systèmes basés sur la biométrie, les clés physiques et les technologies telles que Passkeys, qui commencent à s'intégrer dans les navigateurs et les systèmes d'exploitation pour éliminer complètement les mots de passe.