La conversation04 sept.2020 13:22:34 IST
La cybersécurité est comme un jeu de taupe. Dès que les gentils ont mis un terme à un type d’attaque, un autre apparaît.
Les noms d’utilisateur et les mots de passe étaient autrefois assez bons pour garder un compte sécurisé. Mais avant longtemps, les cybercriminels ont compris comment contourner ce problème.
Souvent, ils utiliseront “attaques par force brute», Bombardant le compte d’un utilisateur avec diverses combinaisons de mots de passe et de connexion dans le but de deviner le bon.
Les pirates informatiques sont connus pour inciter les opérateurs de téléphonie mobile à transférer le numéro de téléphone d’une victime sur leur propre téléphone.
Pour faire face à de telles attaques, une deuxième couche de sécurité a été ajoutée dans une approche connue sous le nom d’authentification à deux facteurs, ou 2FA. Il est maintenant répandu, mais la 2FA laisse-t-elle également de la place aux failles que les cybercriminels peuvent exploiter?
2FA par SMS
Il existe différents types de 2FA. La méthode la plus courante consiste à envoyer un code à usage unique sous forme de message SMS sur votre téléphone, que vous saisissez ensuite à la suite d’une invite du site Web ou du service auquel vous essayez d’accéder.
La plupart d’entre nous connaissent cette méthode, car elle est appréciée par les principales plateformes de médias sociaux. Cependant, même si cela peut sembler suffisamment sûr, ce n’est pas nécessairement le cas.
Les pirates informatiques sont connus pour tour les opérateurs de téléphonie mobile (tels que Telstra ou Optus) à transférer le numéro de téléphone d’une victime sur son propre téléphone.
Prétendant être la victime intentionnelle, le pirate informatique contacte l’opérateur avec une histoire de perte de son téléphone, demandant qu’une nouvelle carte SIM avec le numéro de la victime lui soit envoyée. Tout code d’authentification envoyé à ce numéro va alors directement au pirate informatique, lui donnant accès aux comptes de la victime. Cette méthode est appelée Permutation SIM. C’est probablement le plus simple des plusieurs types des escroqueries qui peuvent contourner 2FA.
Et tandis que les processus de vérification des opérateurs pour les demandes SIM s’améliorent, un escroc compétent peut les contourner.
Applications d’authentification
La méthode d’authentification est plus sécurisée que 2FA par SMS. Il fonctionne sur un principe connu sous le nom de TOTP, ou «mot de passe à usage unique basé sur le temps».
TOTP est plus sécurisé que les SMS car un code est généré sur votre appareil plutôt que envoyé sur le réseau, où il peut être intercepté.
La méthode d’authentification utilise des applications telles que Google Authenticator, LastPass, 1Password, Microsoft Authenticator, Authy et Yubico.
Cependant, bien qu’il soit plus sûr que le 2FA par SMS, il y a eu rapports des pirates qui volent les codes d’authentification des smartphones Android. Ils le font en incitant l’utilisateur à installer malware (logiciel conçu pour nuire) qui copie et envoie les codes au pirate informatique.
Le système d’exploitation Android est plus facile à pirater que l’iPhone iOS. IOS d’Apple est propriétaire, tandis qu’Android est open-source, ce qui facilite l’installation de logiciels malveillants.
2FA en utilisant des détails qui vous sont propres
Les méthodes biométriques sont une autre forme de 2FA. Il s’agit notamment de la connexion par empreinte digitale, de la reconnaissance faciale, des scans de la rétine ou de l’iris et la reconnaissance vocale. L’identification biométrique est de plus en plus populaire pour sa facilité d’utilisation.
Aujourd’hui, la plupart des smartphones peuvent être déverrouillés en plaçant un doigt sur le scanner ou en laissant l’appareil photo scanner votre visage – beaucoup plus rapidement que de saisir un mot de passe ou un mot de passe.
Cependant, les données biométriques peuvent également être piratées, soit depuis les serveurs sur lesquels elles sont stockées, soit depuis le logiciel qui traite les données.
Un exemple typique est celui de l’année dernière Violation de données Biostar 2 dans lequel près de 28 millions d’enregistrements biométriques ont été piratés. BioStar 2 est un système de sécurité qui utilise la technologie de reconnaissance faciale et d’empreintes digitales pour aider les organisations à sécuriser l’accès aux bâtiments.
Il peut également y avoir de faux négatifs et de faux positifs dans la reconnaissance biométrique. La saleté sur le lecteur d’empreintes digitales ou sur le doigt de la personne peut entraîner de faux négatifs. De plus, les visages peuvent parfois être assez similaires pour systèmes de reconnaissance faciale stupides.
Un autre type de 2FA se présente sous la forme de questions de sécurité personnelle telles que «dans quelle ville tes parents se sont-ils rencontrés?» ou “quel était le nom de votre premier animal?”
Seul le hacker le plus déterminé et le plus ingénieux pourra trouver des réponses à ces questions. C’est peu probable, mais toujours possible, d’autant plus que nous sommes de plus en plus nombreux à adopter des profils publics en ligne.
2FA reste la meilleure pratique
Malgré tout ce qui précède, la plus grande vulnérabilité au piratage reste le facteur humain. Les hackers qui réussissent ont une panoplie ahurissante de trucs psychologiques dans leur arsenal.
Une cyberattaque peut se présenter sous la forme d’une demande polie, d’un avertissement effrayant, d’un message ostensiblement d’un ami ou d’un collègue, ou d’un lien intrigant «clickbait» dans un e-mail.
La meilleure façon de se protéger des pirates est de développer une bonne dose de scepticisme. Si vous vérifiez attentivement les sites Web et les liens avant de cliquer et que vous utilisez également 2FA, les chances d’être piraté deviennent extrêmement faibles.
L’essentiel est que 2FA est efficace pour protéger vos comptes. Cependant, essayez d’éviter la méthode SMS la moins sécurisée lorsque vous en avez l’option.
Tout comme les cambrioleurs dans le monde réel se concentrent sur les maisons mal sécurisées, les pirates sur Internet recherchent des faiblesses.
Et bien que toute mesure de sécurité puisse être surmontée avec suffisamment d’efforts, un pirate informatique ne fera pas cet investissement à moins d’obtenir quelque chose de plus précieux.
David Tuffley, Maître de conférences en éthique appliquée et cybersécurité, Université Griffith
Cet article est republié à partir de La conversation sous une licence Creative Commons. Lis le article original.
