Sécurité : une agence américaine s'attaque à la double authentification

Jusqu’à présent, on pensait que l’authentification à deux facteurs, utilisant à la fois le mot de passe et un code envoyé par SMS, était la meilleure façon de sécuriser ses comptes en ligne. Selon une agence américaine dépendant du département du commerce, il n’en serait rien.

>>> Facebook, Google, LinkedIn... Optez pour la double validation

Dans un rapport remis cette semaine, l’Institut national des technologies et des standards (NIST) américain détaille ses projets de ligne directrice en matière de protection acceptable des différents services en ligne. L’agence américaine, qui dépend directement du Département du commerce, n’est pas tendre avec l’authentification à deux facteurs utilisant le SMS pour transmettre un code de vérification. « En raison du risque que les SMS soient interceptés ou redirigés, les créateurs de nouveaux systèmes devraient considérer attentivement des solutions alternatives », explique l’agence. Elle déplore également un risque de modification du numéro de téléphone par d’éventuels pirates qui rendraient ainsi la récupération du compte par son utilisateur d’autant plus difficile.

L’authentification à double facteur est actuellement considérée comme l’une des meilleures protections contre le piratage de vos comptes en ligne. Elle est notamment utilisée par Facebook, Google, Amazon ou PayPal. Concrètement, une fois que vous avez rentré votre identifiant et votre mot de passe sur un site, celui-ci va vous envoyer un SMS pour s’assurer que vous êtes bien l’utilisateur légitime du service et du compte. Il vous suffit alors de rentrer le code envoyé par SMS pour se connecter définitivement. Certains acteurs du Web comme Google ont même fait un pas de plus en supprimant la notion de mot de passe afin de tester un système de connexion uniquement par envoi de code par SMS.

Le rapport du NIST semble cependant confirmer des risques pressentis ces dernières semaines. À la fin du mois de juin, on apprenait que des pirates avaient réussi à passer outre cette double authentification de Google en envoyant eux-mêmes un SMS à la victime.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire