L’authentification à deux facteurs (2FA), attendue depuis longtemps, était censée être une amélioration de la gestion des mots de passe. Et dans une certaine mesure, elle a répondu aux attentes, car cette couche de protection supplémentaire est utilisée pour assurer la sécurité de nombreuses entreprises et comptes gouvernementaux en ligne. Cependant, son efficacité varie. Elle offre certes toujours une protection qui va au-delà d’un simple nom d’utilisateur et mot de passe, mais elle a ses défauts. L’authentification à deux facteurs continue d’être très efficace pour repousser les attaques automatisées. Pourtant, ce n’est malheureusement pas une panacée, car les pirates ont prouvé à plusieurs reprises qu’ils peuvent contourner la couche de sécurité offerte par la 2FA, surtout si elle se présente sous la forme d’un message texte SMS.
Les fraudeurs peuvent facilement commettre des délits lorsqu’ils mettent la main sur des informations sensibles provenant de fuites et de violations de données. Et cela se produit bien trop souvent, le piratage le plus récent étant l’attaque contre T-Mobile qui a révélé les détails personnels, y compris les Social Security Number et de permis de conduire, de plus de 50 millions d’Américains.
Avec des milliards de points de données en vente sur le dark web, et parfois même gratuits sur les sites torrent, les criminels peuvent facilement contourner la 2FA en utilisant des techniques d’échange de carte SIM ou des mots de passe faibles.
Lorsqu’un utilisateur appelle un opérateur de téléphonie mobile la plupart du temps, les opérateurs demandent aux utilisateurs de confirmer leur identité en fournissant les quatre derniers chiffres de son SSN ou des codes d’accès – les deux faisaient partie des nombreuses autres informations d’identification personnelles volées à T-Mobile le mois dernier. Bien que les codes d’accès et les mots de passe puissent être facilement modifiés, le SSN américain est un numéro qui reste à vie, comme le numéro de sécurité sociale français, et, si vous êtes américain, les chances que votre SSN figure parmi les informations volées dans l’une des violations de données au fil des ans sont très probables. Donc, si l’échange de carte SIM était relativement facile à contourner pour les pirates informatiques dans le passé, il n’est probablement même plus nécessaire que les fraudeurs soient calés en technologie – ils peuvent simplement appeler et commettre leur crime.
Que pouvez-vous faire ?
En plus de maintenir une bonne hygiène de vos mots de passe, vous pouvez repenser l’utilisation des SMS comme une forme de 2FA. En outre, vous pouvez envisager d’adopter des options d’authentification multifacteur dans la mesure du possible – plus vous avez de couches de protection, mieux c’est.
Les agences gouvernementales et les entreprises privées de toutes tailles continuent de profiter du processus de vérification à deux facteurs. Cependant, compter uniquement sur l’authentification à deux facteurs n’est pas suffisant si vous vous souciez vraiment de votre cyber-protection et de votre vie privée. N’importe quelle couche de sécurité vaut mieux que de ne pas en avoir du tout, alors saisissez l’opportunité chaque fois que vous avez l’option 2FA. De plus, l’installation d’un logiciel antivirus haut de gamme sur tous vos appareils connectés ajoute encore plus de couches de sécurité et protège non seulement en temps réel, mais s’accompagne parfois d’avantages tels qu’un gestionnaire de mots de passe et une solution VPN qui aident les utilisateurs à mieux garder le contrôle sur leur vie numérique.