[Brève] Instagram active la double authentification sans SMS

Mobile

<p>Suite à la révélation d'une faille dans la validation à deux étapes via SMS, Instagram se prépare à la double authentification via un générateur de mots de passe logiciel. D'autres services ont déjà activé ce type de procédure.</p>

Le site spécialisé informatique Motherbord de Vice a dévoilé une enquête sur le piratage de la double authentification par SMS, notamment avec la prise de contrôle de la ligne mobile par une nouvelle carte SIM.

Le SIM swapping/hijacking en vecteur

L'attaque sur la double authentification est une conséquence d'une autre attaque, le SIM swapping ou SIM hijacking. Les escrocs récupèrent des données d'utilisateurs d'un site. Avec ces derniers (numéro de mobile, adresse postale et/ou numéro de sécurité sociale), ils annoncent à l'opérateur de la victime qu'elle a perdu sa carte SIM et demande la portabilité ou le transfert vers une autre carte SIM, utilisée par les usurpateurs. Une fois maître du numéro, ils demandent la réinitialisation du mot de passe du compte du service en ligne et en prennent le contrôle.

Aux Etats-Unis, l'opérateur T-Mobile US a prévenu en février dernier ses abonnés d'une attaque massive de ses services clients concernant le SIM hijacking. La plupart des opérateurs ont mis en place un second mot de passe à utiliser sur leur site ou dans les appels au service client.

La double authentification par application mobile

Face à cette menace, les services en ligne commencent à changer de stratégie concernant la double authentification. Au lieu d'utiliser la voie du SMS, certains ont mis en place la double authentification par code généré aléatoirement, via une application ou une clé physique. Ainsi, Google et Microsoft proposent des applications (Authentificator) pour générer les mots de passe à fournir lors de la seconde authentification pour leurs services mais également pour les autres (Facebook, Twitter, EA Origin,...). Cependant, l'une des cibles favorites, Instagram, va implémenter cette solution.

Une des premières sociétés à utiliser la double authentification par code généré est l'éditeur et développeur de jeux vidéos, Blizzard Entertainment, pour la sécurisation des comptes World of Warcraft puis des comptes Battle.net. En effet, l'éditeur propose une clé Authentificator physique et, plus récemment, une application mobile. Cette dernière a été améliorée pour que la demande de connexion devienne une requête d'autorisation directement sur l'application mobile, sans avoir à taper le code.

Si un service ne propose que la double authentification par SMS, elle reste une solution plus sécurisée qu'une simple authentification.

Commentaires