L'authentification à deux facteurs est partout. Du moment où vous vous connectez à votre compte Gmail pour accéder à vos informations financières via PayPal, 2FA est là pour vous accueillir comme un moyen plus sûr de vous connecter. Vous le trouverez même lors de la configuration d'une PS5 ou Xbox Series X. Heck , il y a de fortes chances que vous soyez déjà habitué à aujourd'hui.
Également connue sous le nom d'authentification multifacteur, la 2FA est une couche de sécurité supplémentaire - utilisée par pratiquement toutes les plateformes en ligne - qui arrête de nombreux pirates informatiques de bas niveau, protégeant ainsi toutes vos précieuses informations privées contre toute violation.
- Les meilleures offres de téléphonie en 2022-2023
- Découvrez les meilleurs smartphones en 2022-2023
Hélas, les tactiques de piratage sont en constante évolution, et il suffit d'un cybercriminel astucieux pour trouver un petit trou dans l'armure et piller ce qui était autrefois des comptes impénétrables à leur guise. Mais vous n'avez pas besoin d'être un as du décryptage du code pour accéder au compte d'une victime sans méfiance.
En fait, selon le rapport Verizon Data Breach Investigations Report 2022-2023, 61 % des 5 250 failles de sécurité confirmées analysées par l'opérateur de réseau américain impliquaient des identifiants volés. Bien entendu, le but de l'authentification multifacteur est d'empêcher les acteurs malveillants d'accéder à un compte même s'ils découvrent un mot de passe super secret.
Mais tout comme la façon dont Scar a laissé Mufasa tomber à sa perte dans l'une des plus grandes trahisons de tous les temps, la méthode de sécurité peut également être la cause première de l'activité cybercriminelle. Le vrai traître ? Votre ancien numéro de téléphone.
Pour mieux comprendre comment les attaquants peuvent facilement utiliser l'authentification à deux facteurs contre vous, il est préférable de savoir quelle est la méthode de sécurité en ligne et comment elle fonctionne. Si cela peut vous aider, pensez à votre ancien numéro de téléphone comme étant Scar tout au long de cette pièce.
Qu'est-ce que l'authentification à deux facteurs ?
L'authentification multifacteur (MFA) est une méthode d'authentification numérique utilisée pour confirmer l'identité d'un utilisateur afin de lui permettre d'accéder à un site Web ou à une application via au moins deux éléments de preuve. L'authentification à deux facteurs, plus connue sous le nom de 2FA, est la méthode la plus couramment utilisée.
Pour que 2FA fonctionne, un utilisateur doit disposer d'au moins deux informations d'identification importantes pour se connecter à un compte (avec plusieurs facteurs impliquant généralement plus de trois détails différents). Cela signifie que si un utilisateur non autorisé met la main sur un mot de passe, il aura toujours besoin d'accéder à un e-mail ou à un numéro de téléphone lié au compte où un code spécial est envoyé pour un niveau de protection supplémentaire.
Par exemple, une banque aura besoin d'un nom d'utilisateur et d'un mot de passe pour qu'un utilisateur puisse accéder à son compte, mais elle a également besoin d'une deuxième forme d'authentification telle qu'un code unique ou une reconnaissance d'empreintes digitales pour confirmer l'identité d'un utilisateur. Ce deuxième facteur peut également être utilisé avant qu'une transaction ne soit effectuée.
Comme expliqué par la société de logiciels Ping Identity, les informations d'identification requises par 2FA sont divisées en trois catégories différentes : "ce que vous savez", "ce que vous avez" et "ce que vous êtes". En termes de « ce que vous savez », ou de vos connaissances, cela se résume à vos mots de passe, votre code PIN ou à une réponse à une question de sécurité telle que « quel est le nom de jeune fille de votre mère ? » (quelque chose dont je ne me souviens jamais).
« Ce que vous êtes » est sans doute la catégorie la plus sûre, car elle confirme votre identité à partir d'un trait physique qui vous est propre. Cela se voit généralement sur les smartphones, tels qu'un iPhone ou un téléphone Samsung Galaxy, utilisant une authentification biométrique telle qu'une empreinte digitale ou un balayage facial pour accéder.
Quant à « ce que vous avez », cela fait référence à ce qui est en votre possession, qui peut être n'importe quoi, d'un appareil intelligent à une carte à puce. Généralement, cette méthode signifie recevoir une notification contextuelle sur votre téléphone via SMS qui doit être confirmée avant d'accéder à un compte. Pour tous les professionnels utilisant Google Gmail pour les entreprises, vous aurez rencontré cette catégorie.
Malheureusement, cette dernière catégorie est préoccupante, surtout lorsque vous ajoutez le recyclage des numéros de téléphone au mélange.
Recyclage des numéros de téléphone
Selon la Federal Communications Commission (FCC), plus de 35 millions de numéros aux États-Unis sont déconnectés et redeviennent disponibles en les réattribuant à un nouvel abonné chaque année. Bien sûr, les nombres sont infinis et tout, mais il n'y a qu'un nombre limité de combinaisons à 10 ou 11 chiffres qu'un réseau mobile peut offrir à ses clients.
L'Office of Communications du Royaume-Uni (Ofcom), l'entité qui attribue les numéros de téléphone mobile aux fournisseurs de réseau britanniques, déclare (via The Evening Standard) qu'il a une politique stricte « utilisez-le ou perdez-le » pour le paiement à l'utilisation numéros de portable. Vodafone déconnecte et recycle un numéro de téléphone après seulement 90 jours d'inactivité, tandis que O2 le fait après 12 mois.
Aux États-Unis, les fournisseurs de réseau, notamment Verizon et T-Mobile, permettent aux clients de changer et de choisir les numéros disponibles affichés sur les interfaces de changement de numéro en ligne via leur site Web ou leur application. Il existe des millions de numéros de téléphone recyclés disponibles, et de plus en plus s'accumulent chaque jour.
Les numéros recyclés peuvent être nocifs pour ceux qui les possédaient à l'origine, car de nombreuses plateformes, y compris Gmail et Facebook, sont liées à votre numéro de mobile pour la récupération de mot de passe ou, et voici le kicker, l'authentification à deux facteurs.
Comment 2FA vous met en danger
Une étude de l'Université de Princeton a découvert avec quelle facilité n'importe qui peut obtenir un numéro de téléphone recyclé et l'utiliser pour plusieurs cyberattaques courantes, y compris les piratages de compte et même le refus d'accès à un compte en le tenant en otage et en demandant une rançon en échange de l'accès.
Selon l'étude, un attaquant peut trouver les numéros disponibles et vérifier si l'un d'entre eux est associé à des comptes en ligne d'anciens propriétaires. En consultant leurs profils en ligne et en vérifiant si leur ancien numéro est lié, les attaquants peuvent acheter le numéro recyclé (seulement 15 $ chez T-Mobile) et réinitialiser le mot de passe sur les comptes. En utilisant 2FA, ils recevront et saisiront ensuite le code spécial envoyé par SMS.
Les chercheurs ont testé 259 numéros qu'ils ont obtenus via les deux opérateurs de téléphonie mobile américains et ont découvert que 171 d'entre eux avaient un compte lié sur au moins l'un des six sites Web couramment utilisés : Amazon, AOL, Facebook, Google, PayPal et Yahoo. C’est ce qu’on appelle une « attaque par recherche inversée ».
Les chercheurs ont découvert une autre variante de l'attaque qui permettait à des acteurs malveillants de pirater des comptes sans avoir à réinitialiser un mot de passe. Utilisation du service de recherche de personnes en ligne BeenVerified, un pirate pourrait rechercher une adresse e-mail en utilisant un numéro de téléphone recyclé, puis vérifier si les adresses e-mail ont été impliquées dans des violations de données à l'aide de Have I Been Pwned ?. S'ils l'avaient fait, l'attaquant pourrait acheter le mot de passe sur un marché noir cybercriminel et pénétrer dans un compte compatible 2FA sans avoir à réinitialiser un mot de passe.
Pour aggraver les choses, les attaquants peuvent également prendre votre compte en otage. Une vilaine astuce consiste à voir un pirate informatique obtenir un numéro pour s'inscrire à plusieurs services en ligne qui nécessitent un numéro de téléphone. Une fois terminé, ils interrompent le service afin que le numéro puisse être recyclé pour qu'un nouvel abonné puisse commencer à l'utiliser. Lorsque le nouvel utilisateur essaie de s'inscrire aux mêmes services, le pirate informatique sera averti via 2FA et lui refusera un moyen d'utiliser le service. L'acteur malveillant demandera alors à la victime de payer une rançon si elle souhaite utiliser ces services en ligne.
Utiliser 2FA de cette manière est atroce, mais cela ne l'empêche pas de se produire. T-Mobile a examiné la recherche en décembre et rappelle maintenant aux abonnés de mettre à jour leur numéro de contact sur les comptes bancaires et les profils de réseaux sociaux sur sa page d'assistance pour le changement de numéro. Mais c'est tout ce que le transporteur a le pouvoir de faire, ce qui signifie que ceux qui ne sont pas informés seront exposés aux attaques.
Autres façons d'utiliser 2FA
Si quoi que ce soit, les numéros de téléphone et 2FA ne se gèlent pas très bien. La bonne nouvelle, cependant, est qu'il existe désormais plus d'options disponibles lorsque vous choisissez d'utiliser 2FA, y compris les méthodes biométriques ou les applications d'authentification susmentionnées.
Cependant, ces options ne sont pas toujours disponibles, et parfois, les services en ligne ne vous offrent que deux options pour 2FA : votre numéro de téléphone ou votre adresse e-mail. Si vous ne voulez pas que les pirates fouillent dans vos informations privées, il est préférable d'opter pour l'authentification par e-mail. Bien sûr, il y a ceux qui n'utilisent pas toujours leurs e-mails, et avec le temps, peuvent souvent oublier leurs mots de passe. Pas de mot de passe, aucun moyen d'obtenir un code d'authentification.
Pour résoudre ce problème, il est préférable de trouver un gestionnaire de mots de passe. LastPass était la référence pendant des années grâce à son service gratuit, mais il existe d'autres concurrents qui valent le détour.
« Mais que se passe-t-il si j'utilise déjà mon numéro de téléphone pour 2FA ? » Je vous entends demander. Si vous envisagez de changer votre numéro de téléphone, assurez-vous de dissocier votre numéro de téléphone des services en ligne auxquels il est connecté avant d'effectuer le changement. Et, si vous avez déjà fait le changement, cela vaut la peine de mettre à jour vos comptes pour vous débarrasser de toutes les cicatrices (numéros de téléphone) qui vous attendent pour vous poignarder quand vous vous y attendez le moins.
Perspectives
L'authentification à deux facteurs est partout, et elle est là pour rester. En fait, Google vous obligera bientôt à utiliser 2FA lors de la connexion, le géant de la technologie se portant garant d'un "avenir plus sûr sans mots de passe". Ce n'est pas une mauvaise idée, mais il est possible que de nombreuses personnes utilisent leur numéro de téléphone pour s'identifier. Nous sommes sûrs que les hackers de bas niveau aiment ce son.
Pour éviter que tout cela ne se produise, une fois que 2FA commence à prendre le contrôle de toutes les plateformes en ligne, tout ce que vous avez à faire est de lire le titre de cet article et de suivre nos conseils.