PSA : Arrêtez d'utiliser votre numéro de téléphone pour l'authentification à deux facteurs - voici pourquoi

PSA : Arrêtez d'utiliser votre numéro de téléphone pour l'authentification à deux facteurs - voici pourquoi

Sécurité
Authentification à deux facteurs

(Crédit image : Snappa)

L'authentification à deux facteurs est partout. A partir du moment où vous vous connectez à votre Gmail compte pour accéder à vos informations financières via PayPal, 2FA est là pour vous accueillir comme un moyen plus sûr de vous connecter. Vous le trouverez même lors de la configuration d'un PS5 ou Xbox série X . Heck, il y a de fortes chances que vous ayez déjà l'habitude d'aujourd'hui.

Également connue sous le nom d'authentification multifacteur, 2FA est une couche de sécurité supplémentaire - utilisée par pratiquement toutes les plateformes en ligne - qui arrête de nombreux pirates de bas niveau dans leur élan, protégeant toutes vos précieuses informations privées contre la violation.

Hélas, les tactiques de piratage évoluent en permanence, et il suffit d'un cybercriminel rusé pour trouver un petit trou dans l'armure et piller ce qui était autrefois des comptes impénétrables à leur guise. Mais vous n'avez pas besoin d'être un expert en décryptage de code pour accéder au compte d'une victime sans méfiance.

En fait, selon le Verizon 2021 Rapport d'enquête sur les violations de données , 61 % des 5 250 failles de sécurité confirmées analysées par l'opérateur de réseau américain concernaient des identifiants volés. Bien sûr, le but de l'authentification multifacteur est d'empêcher les acteurs malveillants d'accéder à un compte même s'ils découvrent un mot de passe super secret.

(Crédit image : Verizon)

Mais tout comme Scar a laissé Mufasa tomber dans l'une des plus grandes trahisons de tous les temps, la méthode de sécurité peut également être à l'origine de l'activité cybercriminelle. Le vrai traître ? Votre ancien numéro de téléphone.

Pour mieux comprendre comment les attaquants peuvent facilement utiliser l'authentification à deux facteurs contre vous, il est préférable de savoir quelle est la méthode de sécurité en ligne et comment elle fonctionne. Si cela vous aide, pensez à votre ancien numéro de téléphone en tant que Scar tout au long de cet article.

(Crédit image : Reddit)

Qu'est-ce que l'authentification à deux facteurs ?

L'authentification multifacteur (MFA) est une méthode d'authentification numérique utilisée pour confirmer l'identité d'un utilisateur afin de lui permettre d'accéder à un site Web ou à une application via au moins deux éléments de preuve. L'authentification à deux facteurs, plus connue sous le nom de 2FA, est la méthode la plus couramment utilisée.

Pour que 2FA fonctionne, un utilisateur doit disposer d'au moins deux informations d'identification importantes pour se connecter à un compte (avec plusieurs facteurs impliquant généralement plus de trois détails différents). Cela signifie que si un utilisateur non autorisé met la main sur un mot de passe, il aura toujours besoin d'accéder à un e-mail ou à un numéro de téléphone lié au compte où un code spécial est envoyé pour un niveau de protection supplémentaire.

Par exemple, une banque aura besoin d'un nom d'utilisateur et d'un mot de passe pour qu'un utilisateur puisse accéder à son compte, mais elle a également besoin d'une deuxième forme d'authentification telle qu'un code unique ou la reconnaissance d'empreintes digitales pour confirmer l'identité d'un utilisateur. Ce deuxième facteur peut également être utilisé avant qu'une transaction ne soit effectuée.

Comme expliqué par la société de logiciels Ping Identity, les informations d'identification requises par 2FA sont divisées en trois catégories différentes : ce que vous savez, ce que vous avez et ce que vous êtes. En termes de ce que vous savez, ou de vos connaissances, cela se résume à vos mots de passe, votre code PIN ou à la réponse à une question de sécurité telle que quel est le nom de jeune fille de votre mère ? (quelque chose dont je ne me souviens jamais).

(Crédit image : Identité Ping)

Ce que vous êtes est sans doute la catégorie la plus sûre, car elle confirme votre identité à partir d'un trait physique qui vous est propre. Cela se voit généralement sur téléphones intelligents , comme un iPhone ou Samsung Galaxy téléphone, en utilisant une authentification biométrique telle qu'une empreinte digitale ou un scan facial pour y accéder.

Quant à ce que vous avez, cela fait référence à ce qui est en votre possession, qui peut être n'importe quoi, d'un appareil intelligent à une carte à puce. Généralement, cette méthode consiste à recevoir une notification contextuelle sur votre téléphone par SMS qui doit être confirmée avant d'accéder à un compte. Pour tous les professionnels utilisant Google Gmail pour les entreprises, vous aurez rencontré cette catégorie.

Malheureusement, cette dernière catégorie est préoccupante, en particulier lorsque vous intégrez le recyclage des numéros de téléphone.

Recyclage des numéros de téléphone

Selon la Commission fédérale des communications ( FAC ), plus de 35 millions de numéros aux États-Unis sont déconnectés et redeviennent disponibles en les réattribuant à un nouvel abonné chaque année. Bien sûr, les nombres sont infinis et tout, mais il n'y a qu'un nombre limité de combinaisons à 10 ou 11 chiffres qu'un réseau mobile peut offrir à ses clients.

(Crédit image : T-Mobile)

L'Office of Communications (Ofcom) du Royaume-Uni, l'entité qui attribue les numéros de téléphone mobile aux fournisseurs de réseau britanniques, déclare (via La norme du soir ) qu'il a une politique stricte d'utilisation ou de perte pour les numéros de téléphone mobile avec paiement à l'utilisation. Vodafone déconnecte et recycle un numéro de téléphone après seulement 90 jours d'inactivité, tandis que O2 le fait après 12 mois.

Aux États-Unis, les fournisseurs de réseau, y compris Verizon et T Mobile laissez les clients changer et choisir les numéros disponibles affichés sur les interfaces de changement de numéro en ligne via leur site Web ou leur application. Il existe des millions de numéros de téléphone recyclés disponibles, et de plus en plus s'accumulent chaque jour.

Les numéros recyclés peuvent être nocifs pour ceux qui les possédaient à l'origine, car de nombreuses plates-formes, y compris Gmail et Facebook, sont liées à votre numéro de mobile pour la récupération du mot de passe ou, et voici le kicker, l'authentification à deux facteurs.

Comment 2FA vous met en danger

POUR étude à l'Université de Princeton a découvert avec quelle facilité n'importe qui peut obtenir un numéro de téléphone recyclé et l'utiliser pour plusieurs cyberattaques courantes, y compris des prises de contrôle de compte et même refuser l'accès à un compte en le prenant en otage et en demandant une rançon en échange de l'accès.

(Crédit image : Université de Princeton)

Selon l'étude, un attaquant peut trouver des numéros disponibles et vérifier si l'un d'entre eux est associé à des comptes en ligne d'anciens propriétaires. En consultant leurs profils en ligne et en vérifiant si leur ancien numéro est lié, les attaquants peuvent acheter le numéro recyclé (seulement 15 $ chez T-Mobile) et réinitialiser le mot de passe sur les comptes. En utilisant 2FA, ils recevront et saisiront ensuite le code spécial envoyé par SMS.

Les chercheurs ont testé 259 numéros obtenus via les deux opérateurs de téléphonie mobile américains et ont découvert que 171 d'entre eux avaient un compte lié sur au moins l'un des six sites Web couramment utilisés : Amazon, AOL, Facebook, Google, PayPal et Yahoo. C'est ce qu'on appelle une attaque de recherche inversée.

Les chercheurs ont découvert une autre variante de l'attaque qui permettait à des acteurs malveillants de détourner des comptes sans avoir à réinitialiser un mot de passe. Utiliser le service de recherche de personnes en ligne JambeVérifié , un pirate pourrait rechercher une adresse e-mail en utilisant un numéro de téléphone recyclé, puis vérifier si les adresses e-mail ont été impliquées dans des violations de données en utilisant Ai-je été pwned? . S'ils l'avaient fait, l'attaquant pourrait acheter le mot de passe sur un marché noir cybercriminel et s'introduire dans un compte compatible 2FA sans avoir à réinitialiser un mot de passe.

(Crédit image : Université de Princeton)

Pour aggraver les choses, les attaquants peuvent également prendre votre compte en otage. Un vilain tour voit un pirate obtenir un numéro pour s'inscrire à plusieurs services en ligne qui nécessitent un numéro de téléphone. Une fois terminé, ils interrompent le service afin que le numéro puisse être recyclé pour qu'un nouvel abonné puisse commencer à l'utiliser. Lorsque le nouvel utilisateur essaie de s'inscrire aux mêmes services, le pirate sera averti via 2FA et lui refusera un moyen d'utiliser le service. L'auteur de la menace demandera alors à la victime de payer une rançon si elle souhaite utiliser ces services en ligne.

Utiliser 2FA de cette manière est atroce, mais cela ne l'empêche pas de se produire. T-Mobile a examiné la recherche en décembre et rappelle maintenant aux abonnés de mettre à jour leur numéro de contact sur les comptes bancaires et les profils de médias sociaux lors de son changement de numéro. page d'assistance . Mais c'est tout ce que le transporteur a le pouvoir de faire, ce qui signifie que ceux qui ne sont pas informés seront ouverts aux attaques.

Autres façons d'utiliser 2FA

Au contraire, les numéros de téléphone et 2FA ne se gélifient pas très bien. La bonne nouvelle, cependant, est qu'il existe désormais plus d'options disponibles lorsque vous choisissez d'utiliser 2FA, y compris les méthodes biométriques ou les applications d'authentification susmentionnées.

Le scanner d'empreintes digitales de Google Pixel 5(Image credit:Antenne Centre)

Cependant, ces options ne sont pas toujours disponibles, et parfois, les services en ligne ne vous proposent que deux options pour 2FA : votre numéro de téléphone ou votre adresse e-mail. Si vous ne voulez pas que les pirates fouillent dans vos informations privées, il est préférable d'opter pour l'authentification par e-mail. Bien sûr, il y a ceux qui n'utilisent pas toujours leurs e-mails et, avec le temps, peuvent souvent oublier leurs mots de passe. Aucun mot de passe, signifie aucun moyen d'obtenir un code d'authentification.

Pour résoudre ce problème, il est préférable de trouver un gestionnaire de mots de passe. Dernier passage était la référence pendant des années grâce à son service de niveau gratuit, mais il existe d'autres concurrents qui valent la peine d'être vérifiés.

Mais que se passe-t-il si j'utilise déjà mon numéro de téléphone pour 2FA ? Je vous entends demander. Si vous envisagez de changer votre numéro de téléphone, assurez-vous de dissocier votre numéro de téléphone des services en ligne auxquels il est connecté avant d'effectuer le changement. Et, si vous avez déjà fait le changement, cela vaut la peine de mettre à jour vos comptes pour vous débarrasser de toutes les cicatrices (numéros de téléphone) qui guettent pour vous poignarder quand vous vous y attendez le moins.

Perspectives

L'authentification à deux facteurs est partout, et elle est là pour rester. En réalité, Google va bientôt vous forcer à utiliser 2FA lors de la connexion, le géant de la technologie se portant garant d'un avenir plus sûr sans mots de passe. Ce n'est pas une mauvaise idée, mais il est possible que de nombreuses personnes utilisent leur numéro de téléphone pour être identifiées. Nous sommes sûrs que les pirates de bas niveau aiment ce son.

Pour éviter que cela ne se produise, une fois que 2FA commence à prendre le contrôle de toutes les plateformes en ligne, tout ce que vous avez à faire est de lire le titre de cet article et de suivre nos conseils.