Skip to content

Cesser l’utilisation des SMS comme authentifiant

Avertissement - Cessez les SMS comme Authentifiant

Aujourd’hui, les appareils mobiles ou téléphones sont de véritables petits ordinateurs mobiles. Ils nous sont bien pratiques pour toute sorte d’activité dans notre quotidien.

Par contre, il est de plus en plus dangereux de les utiliser comme moyen d’authentification à double facteur via les Short Message Service (SMS).

L’authentification à double facteur par SMS est ce le petit bout de « code » numérique que l’on vous envoie via texto pour offrir un autre degré d’authentification après s’être identifié et entré son mot de passe. Ou encore, pour confirmer que c’est bien nous qui demandons une réinitialisation de son mot de passe.

Pourquoi c’est dangereux maintenant, il y a plusieurs raisons et je vous présente rapidement les premières qui me viennent à l’esprit et la plus importante !

Interception automatisée des codes SMS

Il fut démontré dans un reportage de l’émission Enquête à Radio-Canada qu’il est très simple pour des pirates d’intercepter les messages SMS tout comme l’enregistrement de vos discussions téléphoniques et même vos déplacements via la géolocalisation avec le système de signalisation numéro 7 ou (SS7). Simplement en connaissant votre numéro de téléphone. Pour les plus curieux, voici un autre article sur le SS7 est ces risques.

Je vous invite fortement à consulter l’article de Radio-Canada et regarder leurs entrevues et vidéos. Maintenant, vous comprendrez vous aussi pourquoi je vous suggère fortement de cesser l’utilisation de votre SMS avec vos appareils mobiles comme moyen d’authentification à double facteur.

Alerte et mise en garde

Conséquences

Pour chaque compte applicatif Web que vous utilisez une authentification SMS, vous permettez aux pirates d’y avoir accès. Avec votre simple numéro de téléphone, ils peuvent capturer l’information attendue et ils pourront utiliser vos applications et receuillir la réception de paiements attendus. Ils attendront le ou les bons moments propices pour frapper sur un ou plusieurs comptes à la fois.

Les cas existent réellement. Voir un propriétaire qui s’est fait voler son paiement de loyer par Interac via son compte de courriel. Autre cas que la CORPIQ a poussé l’affaire devant les tribunaux pour statuer la responsabilité. C’est votre responsabilité selon un jugement et on s’en doutait bien.

  • Ils pourront utiliser vos applications en ligne à votre insu, sans que vous le sachiez :
    • Vos textos ou SMS, Authentification ou paiements Interac reçus par texto. Ne faites plus jamais ça. Inviter plutôt les gens à procéder les paiements Interac via courriel, une fois ceux-ci sécurisés.
    • Les courriels tels que Hotmail, Outlook ou Gmail peuvent recevoir des paiements Interac en lignes et ils les encaisseront à votre place.
    • Les comptes de réseaux sociaux tels que Facebook ou LinkedIn, ils pourront bénéficier de vos privilèges.
    • Vos comptes bancaires, ils pourront vider vos comptes, faire des transfères bancaires et disparaître derrière des VPN.
    • Les sites d’achats en ligne tels qu’Amazon, etc. Ils pourront faire des achats avec vos cartes de crédit déjà inscrites.
  • Autres conséquences, vous perdrez accès à une application, car le pirate aura pris le contrôle de votre accès, et lui, il l’aura sécuriser avec un MFA plus sécuritaire.
  • Vous devez récupérer vos accès perdus avec plusieurs démarches laborieuses. Certains exigeront un document notarié afin de vous redonner vos accès.
  • Je suis sûr qu’il y a d’autres conséquences que j’ai omises.

En résumé, perte de contrôle, perte monétaire, perte d’accès, perte de réputation, perte de clients, perte de temps.

SMS Alternatives

Il faudra reconfigurer et utiliser une autre méthode pour chacun des endroits où vous avez mis en place le SMS comme méthode d’authentification. Remplacer le par une authentification logiciel ou physique si possible. Si c’est deux dernières méthodes ne sont pas offerts, l’authentification par SMS demeure tout de même mieux que authentifactation simple avec mot de passe. Faites pression auprès du prestataire de service afin qu’il puisse offrir lui aussi une authentification logiciel ou physique le plutôt possible.

Faîtes comme presque la majorité des gens sécuritaire , utiliser plutôt les Time-based One-time Password algorithm (TOTP) logiciel ou un jeton physique pour encore plus de sécurité. Tout dépend des besoins de sécurité. Vous pouvez regarder rapidement l’article de Kaspersky sur les alternatives.

Exemples de logiciel MFA
Exemples de logiciel

Conseils

  1. Choisissez une méthode disponible pour la ou les plateformes que vous utiliserez, soit : MAC, Windows, Linux, Android, iPhone.
  2. Soyez très prudents lors des changements de vos configurations. Pour éviter les faux pas, faites-vous accompagner par quelqu’un qui est à l’aise dans la démarche.
  3. Gardez précieusement une copie chiffrée ou papier sous garde de vos codes de récupération. En cas de perte d’un appareil qui détient l’application logicielle ou de votre jeton physique.
  4. Une fois les changements bien accomplis, retirez de la configuration l’option du SMS.

Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois

Facebook
LinkedIn
Twitter
YouTube