Même le 2ème facteur n’est pas suffisant #hack

In Gestion des risques, Sécurité de l'info
Déroulez ici

A l’heure où les annonces de vols et de piratages de données ne cessent de s’enchaîner dans notre actualités, il s’agit également à chaque fois de rappeler les bonnes pratiques pour réduire ses risques.


Pour m'offrir un café en échange du travail de veille réalisé gratuitement

La faiblesse des mots de passe est souvent à l’origine de ces catastrophes et l’usage d’une authentification forte s’étend pour réduire les risques de vols d’identité. Pour rappel, on parle d’authentification forte lorsqu’au moins 2 facteurs différents sont utilisés:

  • quelque chose que l’on sait comme un mot de passe par exemple;
  • quelque chose que l’on a comme un SMS, un code unique OTP (one time password) pseudo-aléatoire;
  • quelque chose que l’on est qui s’associe à la biométrie comme la voix, les empreintes digitales, l’iris, …

Aujourd’hui, ce 2ème facteur d’authentification est principalement mis à disposition sur un mobile et les dernières attaques montrent que ce rempart est également piratable. L’exemple ci-dessous montre le modus operandi des pirates qui tentent, via du social engineering, de prendre possession du mobile de leur victime via l’opérateur de téléphonie.

@Deray’s Twitter Hack Reminds Us Even Two-Factor Isn’t Enough

This has been the week of Twitter hacks, from Mark Zuckerberg to a trove of millions of passwords dumped online to, most recently, Black Lives Matter activist DeRay McKesson. In Zuckerberg’s case, it seems he was guilty of using a terrible password across multiple accounts, specifically a kind of adorable but way too simple one: dadada.

Pas de quoi devenir paranoïaque, mais il est important de rester attentif globalement à notre sécurité, être prêt à réagir et ne pas oublier que les pirates cherchent toujours le maillon le plus faible de la chaîne de sécurité.

La newsletter