Pourquoi vous devriez aussi cesser d’utiliser le SMS comme deuxième facteur d’authentification

Activer une authentification forte par défaut, au moins pour les connexions externes, est aujourd’hui une bonne pratique de base largement adoptée en matière de cybersécurité. Pourtant aujourd’hui, les mécanismes de création d’un deuxième facteur d’authentification ou de validation ne sont pas tous égaux face aux vulnérabilités.

Le populaire SMS est ainsi souvent dorénavant mis à ban car il a en effet le malheur de cumuler deux faiblesses :

1. Une vulnérabilité intrinsèque au protocole de communication mobile SS7. Pour rappel, SS7 permet aux réseaux téléphoniques d’échanger les informations nécessaires à la transmission d’appels et de SMS entre eux et de garantir une facturation correcte (voir le complétement d’infos en fin d’article)
2. Une augmentation des piratages de cartes SIM pour s’approprier le numéro mobile de la future victime (voir le complétement d’infos en fin d’article)

Aujourd’hui, la chaîne de sécurité du SMS dépend donc beaucoup des fournisseurs de télécommunication … et même trop pour certaines banques allemandes selon cet article:

German banks to stop using SMS to deliver second authentication/verification factor – Help Net Security

German banks are moving away from SMS-based customer authentication and transaction verification (called mTAN or SMS-TAN), as the method is deemed to be too insecure. According to German business news outfit Handelsblatt, a number banks – whether private, co-operative or public – have either stopped offering the option or are planning to remove it by the end of the year.

Parmi les différentes solutions listées en bas de cet article, le SMS n’est donc certes pas parfait mais certainement préférable à une totale absence d’authentification forte. Hormis les coûts d’envoi induits, le SMS a en effet surtout l’avantage de ne nécessiter aucune manipulation pour l’utilisateur, ce qui est un avantage indéniable pour de larges populations incluant des non-experts en informatique confrontés à l’utilisation de smartphones et l’installation d’applications.

Bref, aucune authentification n’est bien sûr parfaite et il s’agit de trouver pour chaque environnement le bon compromis entre la sécurité et l’expérience utilisateur. L’important est d’aller de l’avant, d’améliorer pas à pas sa sécurité et surtout ne pas de laisser distancer par les cybercriminels.

A propos de la faille SS7

SS7, telecoms’ largest security hole – Panda Security Mediacenter

February 2019. At the British retail bank, Metro Bank, a serious problem has been discovered: someone is accessing sensitive client information. More specifically, this intrusion happens when a client receives a code on their mobile phone in order to carry out a certain operation.

SS7 hack explained: what can you do about it?

Hackers can read text messages, listen to phone calls and track mobile phone users’ locations with just the knowledge of their phone number using a vulnerability in the worldwide mobile phone network infrastructure. The exploit centres on a global system that connects mobile phone networks, and can give hackers, governments or anyone else with access to it remote surveillance powers that the user cannot do anything about.

A propos du piratage de cartes SIM :

Large-scale SIM swap fraud | Securelist

SIM swap fraud is a type of account takeover fraud that generally targets a weakness in two-factor authentication and two-step verification, where the second factor or step is an SMS or a call placed to a mobile telephone. The fraud centers around exploiting a mobile phone operator’s ability to seamlessly port a telephone number to a new SIM.

How to Prevent and Respond to a SIM Swap Scam

When ZDNet’s Matthew Miller got hit with a SIM swap attack, he described it as a « horror story » that caused him to lose « decades of data. » And he’s not being hyperbolic; more than a week later, he’s still dealing with the aftereffects, and there’s no guarantee from some of the major tech players-including Twitter and G…