Les entreprises ayant adopté l’authentification par SMS pour la connexion aux comptes mises en cause face aux attaques par SIM swap

La responsabilité des entreprises ayant adopté la connexion aux comptes par SMS

• Si les attaques par SIM swap continuent, c’est parce que de nombreuses entreprises comme Apple, Dropbox, PayPal, Block et Google ont adopté la mauvaise idée d’utiliser les SMS pour la réinitialisation des mots de passe et la connexion aux comptes.
• Une attaque par SIM swap consiste pour un criminel à demander à l’opérateur de transférer le numéro de téléphone de la victime vers son propre téléphone, afin de recevoir par SMS les informations de connexion au compte et de voler de l’argent ainsi que des données sensibles.
• La manière d’empêcher les attaques par SIM swap est simple : les entreprises ne devraient pas autoriser la connexion ou la réinitialisation de mot de passe via SMS, et si elles proposent une 2FA par SMS, elles devraient aussi offrir des options plus sûres comme Authy ou Google Authenticator.

Les problèmes de l’authentification par SMS

• L’authentification par SMS est présentée comme une méthode générale de protection des clients, mais malgré sa praticité par rapport à des méthodes plus sûres comme l’authentification par e-mail, elle reste faible sur le plan de la sécurité.
• Envoyer un message à un client par SMS revient à envoyer une carte postale non chiffrée, et comme dans une attaque par SIM swap, n’importe qui peut ouvrir la boîte aux lettres et intercepter le message.
• Le SMS n’est pas la meilleure option pour la réinitialisation de mot de passe, et utiliser Authy ou l’e-mail constitue une meilleure option de 2FA.

Le revers de l’adoption technologique

• Apple, Google et d’autres ont renforcé le rôle du SMS en introduisant des fonctions prenant en charge la réinitialisation de mot de passe et la connexion aux comptes via SMS.
• Les fournisseurs cloud tirent profit de la fourniture de codes par SMS, ce qui revient à vendre comme solution sûre une technologie fondamentalement imparfaite.
• Des services financiers comme Wells Fargo, Cash App, Robinhood, Schwab, PayPal et Bank of America proposent eux aussi des fonctions de réinitialisation/connexion aux comptes par SMS.

Les malentendus des clients

• Les clients ne comprennent pas la nature imparfaite de la réinitialisation par SMS et privilégient davantage sa commodité que des codes de connexion via une application de 2FA comme Authy ou une réinitialisation par e-mail.
• Les entreprises technologiques n’ont pas su protéger leurs clients, et l’on peut espérer que la situation évolue par des actions en justice et des mesures législatives.

L’avis de GN⁺

• Malgré sa commodité, l’authentification par SMS présente des vulnérabilités de sécurité, et les entreprises devraient adopter des méthodes d’authentification plus sûres.
• Les attaques par SIM swap continuent de se produire bien qu’il s’agisse d’un problème évitable, ce qui découle d’une mauvaise adoption technologique par les entreprises.
• Cet article transmet un message important : les entreprises technologiques doivent faire de la sécurité de leurs clients une priorité, abandonner les systèmes d’authentification par SMS et adopter des méthodes plus sûres, apportant ainsi des éléments de réflexion aux utilisateurs comme aux professionnels du secteur.