Contrairement à ce que l'on peut penser, l'authentification à double facteur par SMS est loin d'être infaillible. Toutefois, il suffit de procéder à quelques modifications pour renforcer considérablement la sécurité de vos comptes. On vous explique tout. 

L'authentification à double facteur est un mécanisme efficace, et essentiel, pour protéger l'accès à vos comptes et vos informations personnelles. Pour les néophytes, la double authentification ou 2FA est une fonctionnalité qui permet de renforcer la sécurité de vos comptes. Elle agit notamment comme une protection supplémentaire en cas de vol de mot de passe.

Le principe est simple : en plus de l'identifiant et du mot de passe, les services vous demanderont une confirmation de plus en vous envoyant un code provisoire par SMS, par mail, via une application dédiée ou bien en exploitant la reconnaissance biométrique de votre smartphone (Face ID, lecteur d'empreinte digitale, etc.).

La 2FA par SMS, une méthode trop vulnérable

Seulement, ce qu'on a tendance à oublier, c'est qu'il est primordial de choisir la bonne méthode d'authentification pour vous assurer une sécurité optimale. Pour cause, si elle est pratique par de nombreux aspects, la vérification par SMS est sans aucun doute la méthode la plus vulnérable. En effet, les pirates ont aujourd'hui à leur disposition de nombreuses méthodes pour récupérer votre numéro de téléphone et accéder à ces codes.

Dans cet article, nous allons revenir justement sur les risques encourus avec la 2FA par SMS avant de vous donner quelques conseils pour renforcer votre sécurité.

Le Sim Swapping, la principale menace

Le Sim Swapping est l'une des rares techniques de piratage qui exploite justement les faiblesses de la 2FA par SMS. Pour résumer, cela consiste à prendre le contrôle de votre numéro de téléphone en dupant votre opérateur . Cette méthode repose sur deux étapes essentielles : la collecte d'informations et la manipulation du FAI.

En premier lieu, le pirate va d'abord chercher à obtenir des renseignements sur vous, comme le nom, l'adresse, la date de naissance ou encore l'adresse mail et les services que vous utilisez.

Autant d'informations qu'il peut récupérer en exploitant une faille de sécurité, à l'aide d'une campagne de phishing, en espionnant vos réseaux sociaux ou bien en usurpant l'identité d'un tiers de confiance (service client, établissement bancaire, etc.).

Ceci fait, l'escroc va ensuite appeler votre opérateur en se faisant passer pour vous. S'il a suffisamment d'informations vous concernant à sa disposition, il arrivera sans mal à convaincre le FAI qu'il s'agit bien de vous. Il ne reste lui plus qu'à prétendre la perte/vol de votre téléphone avant de demander le transfert du numéro sur une nouvelle carte SIM. En l'occurrence, la sienne. Résultat, le hacker va recevoir tous vos SMS, y compris ceux dédiés à la 2FA.  A partir de là, accéder à l'ensemble de vos comptes est un jeu d'enfant. D'après les experts en sécurité informatique de Kapersky, 65 % des Français ont déjà été victimes de SIM Swapping, avec un préjudice moyen de 10 000 euros par personne !

Comment savoir qu'on est victime d'un SIM Swapping ?

Sans surprise, détecter un SIM Swapping est loin d'être évident. Les hackers font généralement en sorte d'être discret pour conserver le contrôle de votre numéro le plus longtemps possible et multiplier les petites opérations bancaires, poursuivre la récupération de données personnelles, etc.

Toutefois, certaines anomalies peuvent vous mettre la puce à l'oreille :

• des pertes subites du signal mobile
• si vous recevez des notifications de connexion depuis des appareils inconnus ou des alertes suspectes de changement de mot de passe
• si vous ne recevez plus certains SMS, surtout ceux dédiés à la 2FA

Les SMS sont une proie facile

L'autre problème avec le 2FA par SMS, c'est que les SMS utilisés pour l'envoi de codes ne sont pas chiffrés de bout en bout. Par conséquent, un pirate peut très bien les consulter, en exploitant par exemple une attaque de type Man-In-The-Middle.

Pour résumer, cette méthode consiste d'abord à s'infiltrer dans le réseau utilisé par la victime. Pour ce faire, il peut par exemple créer un faux point d'accès Wi-Fi dans un espace public qui ne requiert pas de mot de passe. Si la victime s'y connecte, l'attaquant peut accéder à l'ensemble des échanges de données réalisés via différentes techniques comme l'usurpation d'adresse IP, d'adresse ARP ou de serveur DNS.

Gare au recyclage des numéros de téléphone

Il faut également revenir sur une autre menace que l'on a tendance à oublier : le recyclage des numéros de téléphones par les opérateurs. Lorsqu'un numéro de téléphone n'est plus utilisé par un client (après une résiliation sans portabilité par exemple), les FAI finissent par le réaffecter à un autre.

Comme le précise l'ARCEP, en charge du plan national de numérotation téléphonique, l'opérateur peut réattribuer le numéro lorsqu'il le souhaite, dans un délai toutefois inférieur à 45 jours, ni supérieur à 120 jours.

Là où le bât blesse, c'est que les pirates ciblent particulièrement ces numéros recyclés. En les récupérant, que ce soit via du SIM Swapping ou de l'ingénierie sociale, ils pourront accéder aux comptes liés à ces numéros. Pour cause, lorsqu'on change de numéro, on a pas forcément le réflexe de changer ses coordonnées téléphoniques sur l'ensemble des sites/services où il est enregistré.

Par conséquent, si vous tentez de vous connecter à l'un de ses comptes avec la 2FA par SMS, le nouveau propriétaire du numéro recevra les codes à votre place. N'oubliez donc pas de changer immédiatement votre numéro sur tous vos services pour éviter ce genre de désagréments.

Comment renforcer la sécurité du 2FA ?

Vous l'aurez compris, l'idée est donc d'abandonner la 2FA par SMS pour une autre méthode d'identification plus fiable et robuste. On vous conseille par exemple de faire appel à une application dédiée comme Google Authenticator ou Microsoft Authenticator. 

Ces applis se chargent de générer des codes d'identification uniques localement sur votre appareil. De cette manière, impossible d'y accéder, à moins bien sûr d'avoir un accès physique à votre smartphone. De plus, il est possible de les obtenir en étant hors-ligne. Autre avantage, les codes générés restent valables uniquement 5 minutes et sont modifiés une fois ce délai écoulé.

Une autre alternative intéressante consiste à opter pour une clé de sécurité. Ces petits appareils, semblables à une clé USB, permettent de limiter l'accès à un logiciel ou un compte. Pour le déverrouiller, il faut impérativement insérer la clé sur votre appareil. Là où le bât blesse, c'est que ces outils ont un certain coût. En outre, il ne vaut mieux pas la perdre ou se la faire voler si l'on veut continuer à accéder à ses comptes.

Notez enfin que certains services ont d'ores et déjà abandonné les SMS pour la 2FA. C'est le cas de Google sur Gmail, qui utilise désormais des QR Code pour confirmer la connexion. La firme a également instauré les passkeys sur ses applis et les Pixel. Elles permettent de se connecter en faisant appel à la reconnaissance faciale et le capteur d'empreintes digitales de votre smartphone. Une méthode bien plus sécurisée.