Il y a un an, j'ai quitté la Suisse pour revenir dans mon pays d'origine : la France. Un tel déménagement implique de nombreuses démarches administratives, dont l'obtention d'un nouveau numéro de téléphone local.
Je me suis rapidement procuré un nouveau numéro et j'ai commencé à mettre à jour mes comptes pour améliorer la sécurité grâce à la double authentification (MFA). Cependant, un problème inattendu s'est posé avec mon compte Amazon. Il s'est avéré que mon nouveau numéro de téléphone était déjà lié au compte d'un autre utilisateur, probablement par le propriétaire précédent qui ne l'avait pas supprimé.
J'ai contacté l'équipe support d'Amazon pour tenter d'associer mon nouveau numéro à mon compte. Le support m'a répondu rapidement, mais n'a pas pu m'aider. La personne m'a expliqué qu'elle ne pouvait pas modifier les détails du compte d'une autre personne sans autorisation explicite. Je ne pouvais pas utiliser mon numéro de téléphone pour activer la double authentification.
L'usurpation de compte Amazon grâce au MFA
Le mécanisme de sécurité des comptes d'Amazon présente un aspect unique qui pourrait être une arme à double tranchant en termes d'accessibilité des comptes. Si vous possédez le numéro de téléphone d'une personne, vous disposez d'un moyen étonnamment simple d'accéder à son compte Amazon. En choisissant de se connecter à l'aide d'un numéro de téléphone portable, puis en sélectionnant de se connecter à l'aide d'un code de vérification envoyé à ce numéro, sans avoir à saisir de mot de passe, il est possible d'accéder à un compte lié à ce numéro.
Après ça, la personne en possession du téléphone a un niveau de contrôle total sur le compte. Elle a la possibilité de réinitialiser le mot de passe du compte, de mettre à jour le numéro de téléphone utilisé pour le MFA, de modifier l'email associé et, éventuellement, d'effectuer des achats en utilisant les données de la carte de crédit enregistrées sur le compte. Il manque d'ailleurs à ce processus un niveau de sécurité essentiel : la validation bancaire n'est pas requise pour les transactions sur Amazon, ce qui laisse une faille qui pourrait être exploitée pour effectuer des achats non autorisés.
Dans mon cas, bien que je me sois retrouvée connectée par inadvertance au compte Amazon d'une autre personne en raison du numéro de téléphone partagé, je me suis abstenue d'effectuer des modifications ou des achats. Mon intention n'était pas d'abuser de l'accès que j'avais obtenu par hasard. Au contraire, j'ai simplement dissocié le numéro de téléphone du compte auquel il était précédemment lié. Cette action était cruciale pour sécuriser mon propre compte Amazon avec mon numéro de téléphone actuel, renforçant ainsi sa sécurité et garantissant que j'étais le seul utilisateur associé à mon compte personnel.
Cet incident souligne l'importance de mettre à jour et de sécuriser régulièrement les informations relatives aux comptes afin de se prémunir contre tout accès non autorisé. Il sensibilise également aux risques potentiels des méthodes d'authentification par téléphone et souligne la nécessité pour les utilisateurs de rester vigilants quant à leurs pratiques en matière de sécurité numérique.
MFA, OTP et perte d'accès
Les méthodes d'authentification par SMS, y compris les mots de passe à usage unique (OTP) et les liens magiques, bien que populaires, présentent des faiblesses critiques en matière de sécurité. Ces faiblesses ne se limitent pas aux scénarios de MFA traditionnels, mais s'étendent à diverses méthodes d'authentification par SMS.
Le fait de ne pas mettre à jour votre numéro de téléphone pour sécuriser votre compte peut avoir une autre conséquence inquiétante : la perte totale de l'accès à votre propre compte.
Par exemple, si vous négligez de mettre à jour votre compte Google avec votre nouveau numéro de téléphone, vous risquez de rencontrer des problèmes d'accès importants et de ne plus pouvoir accéder à votre compte. Cet oubli peut créer une situation frustrante et difficile, même si vous vous souvenez de votre mot de passe.
Lorsque vous changez de numéro de téléphone mais que vous omettez de mettre à jour cette information dans les paramètres de votre compte Google, vous créez involontairement une barrière à l'entrée. Le problème survient lors du processus de vérification, une étape essentielle pour garantir la sécurité et l'intégrité de votre compte. Dans le cadre de ses efforts pour maintenir des normes de sécurité élevées, Google exige souvent un code de vérification dans le cadre de son processus d'authentification à deux facteurs. Ce code est généralement envoyé au numéro de téléphone que vous avez enregistré.
Toutefois, si votre compte est toujours lié à votre ancien numéro, vous ne recevrez pas ces codes de vérification essentiels. Par conséquent, même si vous saisissez le bon mot de passe, vous ne pourrez pas terminer la procédure de connexion. Ce manque d'accès au code de vérification vous empêche de confirmer votre identité et d'accéder à votre compte.
En outre, les conséquences de ce problème ne se limitent pas à l'impossibilité de consulter ses e-mails ou de mettre à jour son agenda. Il peut perturber votre accès à tous les services associés à votre compte Google, y compris les plateformes essentielles telles que Google Drive, Photos, et même les sites tiers sur lesquels vous utilisez Google pour vous connecter.
Les risques et vulnérabilités du MFA par SMS
Cette révélation sur le processus de connexion d'Amazon ne fait pas que froncer les sourcils, elle ouvre également la voie à une discussion plus large sur les risques inhérents à l'utilisation de l'authentification multifactorielle par SMS sur diverses plates-formes.
Voici d'autres limites de la double authentification par SMS :
1. Chiffrement des SMS et malwares
Les messages SMS ne sont pas cryptés, ce qui en fait des cibles faciles pour l'interception et la lecture non autorisée. Des informations sensibles, comme les codes d'authentification, peuvent tomber entre de mauvaises mains et entraîner des violations de compte. Cependant, la sophistication technique requise pour intercepter les SMS rend cette méthode d'attaque moins probable et la plupart des attaquants préfèrent utiliser malware sur un appareil pour siphonner les données des SMS.
2. Dépendance aux réseaux mobiles
La dépendance à l'égard des réseaux mobiles, qui peuvent connaître des pannes, rend la double authentification par SMS peu fiable dans les moments critiques où l'accès au compte est nécessaire.
3. Exploits SS7 et Sakari
Contrairement aux craintes exprimées précédemment, le protocole Signal System 7 (SS7) n'est plus aussi vulnérable à l'exploitation. Cependant, la facilité avec laquelle les SMS peuvent être transférés vers des services tels que Sakari, réalisable avec une ingénierie sociale de base et un coût minime, constitue un nouveau vecteur de menace.
4. Ingénierie sociale
Les attaquants peuvent utiliser des techniques d'ingénierie sociale pour inciter des personnes ou des fournisseurs de services mobiles à divulguer des informations confidentielles ou à transférer un numéro de téléphone vers une nouvelle carte SIM, contournant ainsi les mesures d'authentification multifacteur.
5. Achats en masse de numéros pour l'usurpation de comptes
Une menace émergente concerne des attaquants qui achètent en masse des numéros de téléphone pour tenter de s'emparer de comptes à grande échelle, en exploitant les vulnérabilités du MFA basé sur les SMS.
Les bonnes pratiques de l'utilisation du MFA
Les authentificateurs basés sur des applications, comme Microsoft Authenticator ou Google Authenticator, sont recommandés pour renforcer le MFA. Toutefois, le problème des connexions OTP et des liens magiques n'est toujours pas résolu, ce qui pose un défi permanent en matière de sécurité. D'une manière générale, veillez à respecter les conseils suivants :
- Utilisez un numéro de téléphone unique et privé pour une double authentification par SMS afin de réduire les risques.
- Réserver la double authentification par SMS aux comptes les moins sensibles, en donnant la priorité aux méthodes plus robustes pour les comptes à haut risque.
- Contrôler régulièrement les activités du compte pour déceler tout signe d'accès non autorisé ou d'activités suspectes.
Les risques de la double authentification par SMS pour les entreprises
Les vulnérabilités mises en évidence de la double authentification par SMS, telles qu'illustrées par l'incident avec mon compte Amazon, soulignent le besoin urgent de stratégies de sécurité numérique renforcées. Cela est particulièrement important pour les entreprises, où les enjeux sont nettement plus élevés en raison du volume de données sensibles et d'actifs financiers à risque. Dans la sphère de l'entreprise, la mise en œuvre de méthodes d'authentification multi-facteurs robustes va au-delà de la protection des utilisateurs individuels ; il s'agit de sauvegarder l'infrastructure digitale de l'entreprise, la propriété intellectuelle et de maintenir la confiance avec les parties prenantes.
Les entreprises doivent donner la priorité au déploiement de solutions d'authentification avancées, telles que la vérification biométrique et les clés de sécurité, qui offrent une meilleure défense contre les cybermenaces. En outre, les entreprises doivent favoriser une culture de la sensibilisation à la sécurité, en veillant à ce que les employés à tous les niveaux comprennent les risques et adhèrent aux meilleures pratiques en matière de sécurité. Cette vigilance collective est cruciale à une époque où les cybermenaces ne sont pas seulement de plus en plus sophistiquées, mais aussi de plus en plus capables de perturber les opérations commerciales et d'infliger des dommages à long terme à la réputation d'une organisation.