Infos - Souscription

09 75 18 80 51

[Brève] Instagram active la double authentification sans SMS

Illustration avec un ordinateur portable sur les genoux

Suite à la révélation d'une faille dans la validation à deux étapes via SMS, Instagram se prépare à la double authentification via un générateur de mots de passe logiciel. D'autres services ont déjà activé ce type de procédure.

Le site spécialisé informatique Motherbord de Vice a dévoilé une enquête sur le piratage de la double authentification par SMS, notamment avec la prise de contrôle de la ligne mobile par une nouvelle carte SIM.

Le SIM swapping/hijacking en vecteur

L'attaque sur la double authentification est une conséquence d'une autre attaque, le SIM swapping ou SIM hijacking. Les escrocs récupèrent des données d'utilisateurs d'un site. Avec ces derniers (numéro de mobile, adresse postale et/ou numéro de sécurité sociale), ils annoncent à l'opérateur de la victime qu'elle a perdu sa carte SIM et demande la portabilité ou le transfert vers une autre carte SIM, utilisée par les usurpateurs. Une fois maître du numéro, ils demandent la réinitialisation du mot de passe du compte du service en ligne et en prennent le contrôle.

Aux Etats-Unis, l'opérateur T-Mobile US a prévenu en février dernier ses abonnés d'une attaque massive de ses services clients concernant le SIM hijacking. La plupart des opérateurs ont mis en place un second mot de passe à utiliser sur leur site ou dans les appels au service client.

La double authentification par application mobile

Face à cette menace, les services en ligne commencent à changer de stratégie concernant la double authentification. Au lieu d'utiliser la voie du SMS, certains ont mis en place la double authentification par code généré aléatoirement, via une application ou une clé physique. Ainsi, Google et Microsoft proposent des applications (Authentificator) pour générer les mots de passe à fournir lors de la seconde authentification pour leurs services mais également pour les autres (Facebook, Twitter, EA Origin,...). Cependant, l'une des cibles favorites, Instagram, va implémenter cette solution.

Une des premières sociétés à utiliser la double authentification par code généré est l'éditeur et développeur de jeux vidéos, Blizzard Entertainment, pour la sécurisation des comptes World of Warcraft puis des comptes Battle.net. En effet, l'éditeur propose une clé Authentificator physique et, plus récemment, une application mobile. Cette dernière a été améliorée pour que la demande de connexion devienne une requête d'autorisation directement sur l'application mobile, sans avoir à taper le code.

Si un service ne propose que la double authentification par SMS, elle reste une solution plus sécurisée qu'une simple authentification.

 
Partager sur Facebook  Partager sur Twitter  Partager sur Google Plus 

Vous souhaitez recevoir nos actualités par mail ? Abonnez-vous à notre newsletter :

En remplissant ce formulaire, j'accepte que les données renseignées soient collectées par Selectra, uniquement pour l'envoi de la newsletter. En savoir plus sur le traitement de mes données

×

Où vont mes données ?

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé, sous la supervision de notre responsable de traitement des données, dans le but de vous communiquer les newsletters de votre choix. Elles sont conservées jusqu’à trois ans après votre dernière interaction avec nos services et sont destinées au service marketing.

Conformément à la loi « informatique et libertés », vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant : contact@selectra.info. Nous ne communiquons jamais vos coordonnées à un tiers, sauf autorisation expresse de votre part.