Les risques cachés de l'authentification multifactorielle par SMS

24 janvier 2024
Lucie Cardiet
Évangéliste du contenu SOC
Les risques cachés de l'authentification multifactorielle par SMS

Il y a un an, j'ai quitté la Suisse pour revenir dans mon pays d'origine : la France. Un tel déménagement implique de nombreuses démarches administratives, dont l'obtention d'un nouveau numéro de téléphone local.

Je me suis rapidement procuré un nouveau numéro et j'ai commencé à mettre à jour mes comptes pour améliorer la sécurité grâce à la double authentification (MFA). Cependant, un problème inattendu s'est posé avec mon compte Amazon. Il s'est avéré que mon nouveau numéro de téléphone était déjà lié au compte d'un autre utilisateur, probablement par le propriétaire précédent qui ne l'avait pas supprimé.

J'ai contacté l'équipe support d'Amazon pour tenter d'associer mon nouveau numéro à mon compte. Le support m'a répondu rapidement, mais n'a pas pu m'aider. La personne m'a expliqué qu'elle ne pouvait pas modifier les détails du compte d'une autre personne sans autorisation explicite. Je ne pouvais pas utiliser mon numéro de téléphone pour activer la double authentification.

L'usurpation de compte Amazon grâce au MFA

Le mécanisme de sécurité des comptes d'Amazon présente un aspect unique qui pourrait être une arme à double tranchant en termes d'accessibilité des comptes. Si vous possédez le numéro de téléphone d'une personne, vous disposez d'un moyen étonnamment simple d'accéder à son compte Amazon. En choisissant de se connecter à l'aide d'un numéro de téléphone portable, puis en sélectionnant de se connecter à l'aide d'un code de vérification envoyé à ce numéro, sans avoir à saisir de mot de passe, il est possible d'accéder à un compte lié à ce numéro.

Interface de connexion Amazon et OTP reçu par sms.

Après ça, la personne en possession du téléphone a un niveau de contrôle total sur le compte. Elle a la possibilité de réinitialiser le mot de passe du compte, de mettre à jour le numéro de téléphone utilisé pour le MFA, de modifier l'email associé et, éventuellement, d'effectuer des achats en utilisant les données de la carte de crédit enregistrées sur le compte. Il manque d'ailleurs à ce processus un niveau de sécurité essentiel : la validation bancaire n'est pas requise pour les transactions sur Amazon, ce qui laisse une faille qui pourrait être exploitée pour effectuer des achats non autorisés.

Un compte Amazon violé à cause d'un MFA par SMS obsolète

Dans mon cas, bien que je me sois retrouvée connectée par inadvertance au compte Amazon d'une autre personne en raison du numéro de téléphone partagé, je me suis abstenue d'effectuer des modifications ou des achats. Mon intention n'était pas d'abuser de l'accès que j'avais obtenu par hasard. Au contraire, j'ai simplement dissocié le numéro de téléphone du compte auquel il était précédemment lié. Cette action était cruciale pour sécuriser mon propre compte Amazon avec mon numéro de téléphone actuel, renforçant ainsi sa sécurité et garantissant que j'étais le seul utilisateur associé à mon compte personnel.

Comment supprimer les sms mfa d'un compte Amazon ?

Cet incident souligne l'importance de mettre à jour et de sécuriser régulièrement les informations relatives aux comptes afin de se prémunir contre tout accès non autorisé. Il sensibilise également aux risques potentiels des méthodes d'authentification par téléphone et souligne la nécessité pour les utilisateurs de rester vigilants quant à leurs pratiques en matière de sécurité numérique.

MFA, OTP et perte d'accès

Les méthodes d'authentification par SMS, y compris les mots de passe à usage unique (OTP) et les liens magiques, bien que populaires, présentent des faiblesses critiques en matière de sécurité. Ces faiblesses ne se limitent pas aux scénarios de MFA traditionnels, mais s'étendent à diverses méthodes d'authentification par SMS.

Le fait de ne pas mettre à jour votre numéro de téléphone pour sécuriser votre compte peut avoir une autre conséquence inquiétante : la perte totale de l'accès à votre propre compte.

Par exemple, si vous négligez de mettre à jour votre compte Google avec votre nouveau numéro de téléphone, vous risquez de rencontrer des problèmes d'accès importants et de ne plus pouvoir accéder à votre compte. Cet oubli peut créer une situation frustrante et difficile, même si vous vous souvenez de votre mot de passe.

Validation de sécurité Google avec code de vérification

Lorsque vous changez de numéro de téléphone mais que vous omettez de mettre à jour cette information dans les paramètres de votre compte Google, vous créez involontairement une barrière à l'entrée. Le problème survient lors du processus de vérification, une étape essentielle pour garantir la sécurité et l'intégrité de votre compte. Dans le cadre de ses efforts pour maintenir des normes de sécurité élevées, Google exige souvent un code de vérification dans le cadre de son processus d'authentification à deux facteurs. Ce code est généralement envoyé au numéro de téléphone que vous avez enregistré.

Toutefois, si votre compte est toujours lié à votre ancien numéro, vous ne recevrez pas ces codes de vérification essentiels. Par conséquent, même si vous saisissez le bon mot de passe, vous ne pourrez pas terminer la procédure de connexion. Ce manque d'accès au code de vérification vous empêche de confirmer votre identité et d'accéder à votre compte.

Message d'erreur de Google "Impossible de vous connecter".

En outre, les conséquences de ce problème ne se limitent pas à l'impossibilité de consulter ses e-mails ou de mettre à jour son agenda. Il peut perturber votre accès à tous les services associés à votre compte Google, y compris les plateformes essentielles telles que Google Drive, Photos, et même les sites tiers sur lesquels vous utilisez Google pour vous connecter.

Les risques et vulnérabilités du MFA par SMS

Cette révélation sur le processus de connexion d'Amazon ne fait pas que froncer les sourcils, elle ouvre également la voie à une discussion plus large sur les risques inhérents à l'utilisation de l'authentification multifactorielle par SMS sur diverses plates-formes.

Voici d'autres limites de la double authentification par SMS :

1. Chiffrement des SMS et malwares

Les messages SMS ne sont pas cryptés, ce qui en fait des cibles faciles pour l'interception et la lecture non autorisée. Des informations sensibles, comme les codes d'authentification, peuvent tomber entre de mauvaises mains et entraîner des violations de compte. Cependant, la sophistication technique requise pour intercepter les SMS rend cette méthode d'attaque moins probable et la plupart des attaquants préfèrent utiliser malware sur un appareil pour siphonner les données des SMS.

2. Dépendance aux réseaux mobiles

La dépendance à l'égard des réseaux mobiles, qui peuvent connaître des pannes, rend la double authentification par SMS peu fiable dans les moments critiques où l'accès au compte est nécessaire.

3. Exploits SS7 et Sakari

Contrairement aux craintes exprimées précédemment, le protocole Signal System 7 (SS7) n'est plus aussi vulnérable à l'exploitation. Cependant, la facilité avec laquelle les SMS peuvent être transférés vers des services tels que Sakari, réalisable avec une ingénierie sociale de base et un coût minime, constitue un nouveau vecteur de menace.

4. Ingénierie sociale

Les attaquants peuvent utiliser des techniques d'ingénierie sociale pour inciter des personnes ou des fournisseurs de services mobiles à divulguer des informations confidentielles ou à transférer un numéro de téléphone vers une nouvelle carte SIM, contournant ainsi les mesures d'authentification multifacteur.

5. Achats en masse de numéros pour l'usurpation de comptes

Une menace émergente concerne des attaquants qui achètent en masse des numéros de téléphone pour tenter de s'emparer de comptes à grande échelle, en exploitant les vulnérabilités du MFA basé sur les SMS.

> Découvrez comment le célèbre groupe de cybercriminels LAPSUS$ contourne la sécurité préventive pour cibler les environnements cloud .

Les bonnes pratiques de l'utilisation du MFA

Les authentificateurs basés sur des applications, comme Microsoft Authenticator ou Google Authenticator, sont recommandés pour renforcer le MFA. Toutefois, le problème des connexions OTP et des liens magiques n'est toujours pas résolu, ce qui pose un défi permanent en matière de sécurité. D'une manière générale, veillez à respecter les conseils suivants :

  1. Utilisez un numéro de téléphone unique et privé pour une double authentification par SMS afin de réduire les risques.
  2. Réserver la double authentification par SMS aux comptes les moins sensibles, en donnant la priorité aux méthodes plus robustes pour les comptes à haut risque.
  3. Contrôler régulièrement les activités du compte pour déceler tout signe d'accès non autorisé ou d'activités suspectes.

Les risques de la double authentification par SMS pour les entreprises

Les vulnérabilités mises en évidence de la double authentification par SMS, telles qu'illustrées par l'incident avec mon compte Amazon, soulignent le besoin urgent de stratégies de sécurité numérique renforcées. Cela est particulièrement important pour les entreprises, où les enjeux sont nettement plus élevés en raison du volume de données sensibles et d'actifs financiers à risque. Dans la sphère de l'entreprise, la mise en œuvre de méthodes d'authentification multi-facteurs robustes va au-delà de la protection des utilisateurs individuels ; il s'agit de sauvegarder l'infrastructure digitale de l'entreprise, la propriété intellectuelle et de maintenir la confiance avec les parties prenantes.

Les entreprises doivent donner la priorité au déploiement de solutions d'authentification avancées, telles que la vérification biométrique et les clés de sécurité, qui offrent une meilleure défense contre les cybermenaces. En outre, les entreprises doivent favoriser une culture de la sensibilisation à la sécurité, en veillant à ce que les employés à tous les niveaux comprennent les risques et adhèrent aux meilleures pratiques en matière de sécurité. Cette vigilance collective est cruciale à une époque où les cybermenaces ne sont pas seulement de plus en plus sophistiquées, mais aussi de plus en plus capables de perturber les opérations commerciales et d'infliger des dommages à long terme à la réputation d'une organisation.

Foire aux questions

Qu'est-ce que l'authentification multifactorielle par SMS et pourquoi est-elle utilisée ?

L'AFM par SMS est un processus de sécurité qui utilise des messages textuels pour délivrer un code ou un lien à usage unique comme couche supplémentaire de vérification lors de la connexion à un compte. Elle est utilisée pour renforcer la sécurité en exigeant une deuxième forme d'authentification en plus du mot de passe.

Comment un ancien numéro de téléphone lié à un compte peut-il entraîner des problèmes de sécurité ?

Si un numéro de téléphone est réattribué à un nouvel utilisateur mais reste lié aux comptes de l'ancien propriétaire, le nouvel utilisateur peut potentiellement accéder à ces comptes. Cela peut conduire à un accès non autorisé et à une utilisation abusive potentielle d'informations personnelles et de données financières.

Quelles sont les implications plus larges des vulnérabilités de l'AMF par SMS pour les entreprises ?

Les entreprises sont plus exposées en raison des volumes importants de données sensibles et d'actifs financiers. Les vulnérabilités du MFA par SMS peuvent conduire à des violations importantes, à des pertes financières et à une atteinte à la réputation. Les entreprises doivent adopter des solutions MFA plus solides pour protéger leur infrastructure numérique.

Comment les utilisateurs peuvent-ils limiter les risques associés à l'AMF par SMS ?

Les utilisateurs peuvent :

  • Utilisez un numéro de téléphone unique et non publié pour l'AMF par SMS.
  • Réserver l'AMF par SMS aux comptes les moins sensibles.
  • Mettez régulièrement à jour les informations relatives à votre compte, en particulier les numéros de téléphone.
  • Surveiller les activités du compte pour détecter les signes d'un accès non autorisé.
Quelle est l'importance de la mise à jour régulière des informations sur les comptes dans le cadre de la sécurité numérique ?

La mise à jour régulière des informations relatives aux comptes, y compris les numéros de téléphone, permet d'éviter les accès non autorisés. Si un ancien numéro de téléphone est toujours lié à des comptes, il peut entraîner des problèmes d'accès et des violations potentielles lorsque le numéro est réattribué à un nouvel utilisateur.

Quels sont les principaux risques associés à l'AMF par SMS ?

Les principaux risques sont les suivants :

  • Interception des messages SMS: Les messages SMS ne sont pas cryptés et peuvent être interceptés par des pirates.
  • Dépendance à l'égard du réseau mobile: Les pannes peuvent empêcher la réception des codes d'authentification.
  • Vulnérabilités du SS7: Bien que cela soit moins courant aujourd'hui, les attaquants peuvent exploiter le protocole SS7 pour intercepter des messages.
  • Ingénierie sociale: Les attaquants peuvent inciter des personnes ou des fournisseurs à transférer des numéros de téléphone.
  • Achat de numéros en masse: Les attaquants peuvent acheter des numéros de téléphone en masse pour s'emparer de comptes.
Que faire si votre numéro de téléphone est réattribué et qu'il reste lié à vos comptes ?

Mettez immédiatement à jour votre numéro de téléphone dans tous vos comptes en ligne. Contactez les fournisseurs de services pour dissocier votre ancien numéro de vos comptes. Surveillez régulièrement vos comptes pour détecter toute activité inhabituelle et activez des méthodes d'authentification renforcées lorsque c'est possible.

Quelles sont les alternatives recommandées à l'AMF par SMS ?

Les alternatives les plus solides sont les suivantes :

  • Authentificateurs basés sur des applications: tels que Google Authenticator et Microsoft Authenticator.
  • Vérification biométrique: Utilisation des empreintes digitales ou de la reconnaissance faciale.
  • Clés de sécurité: Les dispositifs physiques qui fournissent une couche supplémentaire de sécurité.
Comment les utilisateurs peuvent-ils limiter les risques associés à l'AMF par SMS ?

Les SOC jouent un rôle crucial dans la surveillance, la détection et la réponse aux menaces de sécurité. La mise en œuvre d'une plate-forme robuste de détection et de réponse aux menaces au sein des SOC peut aider à identifier et à atténuer les vulnérabilités liées à l'AMF, améliorant ainsi la sécurité globale.

Comment les entreprises peuvent-elles favoriser une culture de sensibilisation à la sécurité parmi leurs employés ?

Les entreprises peuvent :

  • Organiser régulièrement des programmes de formation et de sensibilisation à la sécurité.
  • Encourager les meilleures pratiques en matière de sécurité numérique.
  • Promouvoir l'utilisation de méthodes d'AMF solides et le contrôle régulier des activités des comptes.
  • Veiller à ce que les employés comprennent les risques et soient vigilants face aux menaces potentielles.

La mise en œuvre de ces mesures et le maintien d'une approche proactive de la sécurité numérique peuvent réduire de manière significative les risques associés à l'AMF par SMS.