Wiki LLV

Outils pour utilisateurs

Outils du site

Piste : menace_2af_sms
wiki:securite:menaces:menace_2af_sms

Authentification à 2 facteurs par SMS

https://www.generation-nt.com/actualites/securite-sms-double-authentification-2fa-sim-swapping-piratage-cybersecurite-alternatives-authentification-passkeys-yubikey-2071118

Entre les interceptions de messages via le protocole SS7 et la menace croissante du SIM swapping, il est urgent de passer à des alternatives modernes comme les applications d'authentification ou les clés de sécurité pour réellement protéger vos comptes.

Le protocole SS7a est une technologie développée dans les années 70, totalement dépassée et non sécurisée.
Il ne dispose d'aucun mécanisme d'authentification cryptographique.
Il fait aveuglément confiance à tout message qui circule sur son réseau.
Il n'est pas chiffré de bout en bout, les messages sont en clair.
Un pirate peut intercepter, rediriger et lire vos messages.

Le SIM swapping — Grâce à des techniques d'ingénierie sociale, un attaquant peut convaincre votre opérateur de transférer votre numéro de téléphone sur une carte SIM en sa possession. Le pirate reçoit alors tous vos appels, SMS, codes d'authentification.

Selon un rapport de TransUnion, près de 27% des cadres du secteur des télécommunications aux États-Unis considèrent le SIM swapping comme l'une des menaces les plus critiques, juste derrière l'usurpation d'identité synthétique.

Plusieurs solutions robustes :

  • Les applications d'authentification génèrent des codes temporaires (TOTP - Time-based one-time passwords, mots de passe à usage unique basés sur le temps) directement sur votre appareil. Ces codes se renouvellent toutes les 30 secondes et sont générés localement, sans jamais transiter sur un réseau non sécurisé.
  • Les Passkeys (clés d'accès) remplacent les mots de passe par une signature cryptographique unique stockée sur votre appareil (téléphone, ordinateur). Pour vous connecter, le serveur vous envoie un défi que seul votre appareil peut signer. Le piratage à distance devient impossible.
  • Les clefs de sécurité physiques sont des clefs USB qui fonctionnent sur le principe des Passkeys contenu dans la clef. C'est l'une des protections les plus fortes contre le phishing et les attaques à distance. L’inconvénient, leur coût (30 à 270€).

Clefs : YubiKey, OnlyKey, Feitian, Octatco, Hideez, Thetis, TrustKey…

Protocoles utilisés : FIDO2, FIDO U2F, Yubico OTP, OATH-TOTP, OATH-HOTP, carte à puce (PIV), OpenPGP…

Certaines fonctionnent sur : Linux, Mac, Windows.

https://geekflare.com/fr/best-hardware-security-keys/

wiki/securite/menaces/menace_2af_sms.txt · Dernière modification : de palas
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki