L'utilisation des SMS pour l'authentification à deux étapes bientôt proscrite
Le NIST (National Institute of Standards and Technology) est l’équivalent de l’ENISA en Europe. Cet institut met en place les standards et règles concernant la cryptographie et la sécurité. Dans son nouveau rapport (qui adopte une nouvelle procédure en passant par GitHub), le NIST a dévoilé que l’utilisation des SMS pour l’authentification à deux étapes est obsolète, faillible et devrait être interdit.
Pour être plus précis, il ne s’agit pas exactement des SMS dont il s’agit, mais d’une, des services passant par VOIP, et deux, de la facilité avec laquelle il est possible de duper les services passant par un système d’authentification à deux étapes par SMS. Ces services ont plus de chances d’être piratées, ou sont moins à cheval sur les méthodes de vérifier l’authenticité d’un utilisateur souhaitant changer de numéro pour recevoir le SMS contenant le code d’accès.
Les SMS : pas assez sécurisé pour être une méthode fiable
Ainsi, il est facile pour quelqu’un tentant d’accéder à un compte ou service opérant par cette méthode simplement en jetant un coup d’œil au smartphone d’une victime. Il n’est pas nécessaire de déverrouiller le téléphone puisque de nombreux utilisateurs affichent leurs messages sur l’écran verrouillé. De plus, les nombreux malwares présents et ciblant les smartphones permettent aux hackeurs de réacheminé les SMS vers d’autres terminaux, des appareils qui sont déjà en leur possession. Rendant tout le processus obsolète.
Bientôt la fin des SMS pour les « 2-step verification » ?
Si le NIST n’a pas la possibilité d’interdire l’utilisation des SMS comme méthode d’authentification, ses recommandations seront sans doute adoptées par les agences gouvernementales et par les services du web. On peut donc déjà anticiper une fin programmée pour l’authentification à deux étapes passant par les SMS.
Comment assurer la sécurité de son compte sans la validation par SMS ?
La charge pour valider l’accès à un compte passera sans doute par des services comme Google Authenticator. Cette application signée Google va générer à chaque fois un nouveau mot de passe secondaire, qui sera utilisé à la place du code apporté par SMS généralement. Il faut toutefois qu’un terminal sécurisé soit utilisé.