Même le 2ème facteur n’est pas suffisant #hack

In Gestion des risques, Sécurité de l'info
Déroulez ici

A l’heure où les annonces de vols et de piratages de données ne cessent de s’enchaîner dans notre actualités, il s’agit également à chaque fois de rappeler les bonnes pratiques pour réduire ses risques.

La faiblesse des mots de passe est souvent à l’origine de ces catastrophes et l’usage d’une authentification forte s’étend pour réduire les risques de vols d’identité. Pour rappel, on parle d’authentification forte lorsqu’au moins 2 facteurs différents sont utilisés:

  • quelque chose que l’on sait comme un mot de passe par exemple;
  • quelque chose que l’on a comme un SMS, un code unique OTP (one time password) pseudo-aléatoire;
  • quelque chose que l’on est qui s’associe à la biométrie comme la voix, les empreintes digitales, l’iris, …

Aujourd’hui, ce 2ème facteur d’authentification est principalement mis à disposition sur un mobile et les dernières attaques montrent que ce rempart est également piratable. L’exemple ci-dessous montre le modus operandi des pirates qui tentent, via du social engineering, de prendre possession du mobile de leur victime via l’opérateur de téléphonie.

@Deray’s Twitter Hack Reminds Us Even Two-Factor Isn’t Enough

This has been the week of Twitter hacks, from Mark Zuckerberg to a trove of millions of passwords dumped online to, most recently, Black Lives Matter activist DeRay McKesson. In Zuckerberg’s case, it seems he was guilty of using a terrible password across multiple accounts, specifically a kind of adorable but way too simple one: dadada.

Pas de quoi devenir paranoïaque, mais il est important de rester attentif globalement à notre sécurité, être prêt à réagir et ne pas oublier que les pirates cherchent toujours le maillon le plus faible de la chaîne de sécurité.

La newsletter