Selon Spencer Dailey, éditeur à Techmeme, les entreprises qui utilisent les SMS pour se connecter à leur compte devraient être blâmées pour les attaques par substitution de carte SIM. Voici son avis sur le sujet.[QUOTE]
Les attaques par échange de cartes SIM se poursuivent année après année parce que des entreprises (qui savent mieux que quiconque) ont adopté l'idée horrible d'utiliser les SMS pour réinitialiser les mots de passe et se connecter à des comptes. Parmi ces entreprises figurent Apple, Dropbox, PayPal, Block, Google et bien d'autres.
Qu'est-ce qu'une attaque par substitution de carte SIM ? Il s'agit d'une attaque par laquelle un malfaiteur demande à un opérateur de transférer votre numéro de téléphone portable sur son propre téléphone. (Les opérateurs sont tenus de porter votre numéro facilement en raison des lois pro-concurrence en vigueur aux États-Unis). Ensuite, l'escroc déclenche et reçoit des informations de connexion à un compte par SMS de la part des entreprises et procède au vol de l'argent et des informations sensibles de la victime. Cela arrive tout le temps... Voici quelques-uns des cas les plus médiatisés :
Existe-t-il un moyen d'empêcher les attaques par échange de cartes SIM ? Oui, c'est simple : Les entreprises NE DOIVENT PAS LAISSER LE CLIENT SE CONNECTER par SMS, ni autoriser la réinitialisation du mot de passe par SMS. Si le 2FA par SMS est proposé, ce ne doit être que s'il existe des options plus sûres comme Authy ou Google Authenticator (et le SMS ne doit jamais servir de solution de secours pour la récupération d'un compte).
Pendant de nombreuses années, les acteurs du secteur ont invariablement dit quelque chose comme : "Eh bien... offrir une authentification par SMS est mieux *globalement* pour la sécurité des clients, en raison de sa commodité (malgré ses défauts) par rapport à d'autres méthodes" (comme l'utilisation beaucoup plus sûre de l'e-mail pour la vérification). À cela, je réponds "Qui êtes-vous pour priver vos clients de sécurité ?" La défense contre les attaques ciblées doit faire partie intégrante du dispositif de défense de toute entreprise. Il est tellement arrogant de dire le contraire, et cela me fait bouillir le sang, vraiment. Proposer des connexions par SMS est une mauvaise idée, qui n'a jamais eu la moindre chance d'être une bonne idée.
Envoyer un SMS à un client, c'est comme envoyer une carte postale par la poste. Il s'agit d'un texte en clair (non crypté), et n'importe qui peut ouvrir votre boîte aux lettres et l'intercepter/le lire (ce qui se produit lors d'une attaque par substitution de carte SIM). Le protocole n'a jamais été conçu pour être sécurisé.
Le SMS est-il la meilleure option pour la réinitialisation des mots de passe ? NON ! La réinitialisation des mots de passe par e-mail est bien plus sûre. Le SMS est-il une bonne option pour le 2FA ? Non ! Des applications comme Authy ou l'utilisation de l'e-mail sont préférables. Est-ce que le fait de connecter votre client par SMS est acceptable ? Non ! [Après avoir lu les commentaires de Hacker News, permettez-moi d'être clair - je ne parle pas seulement du 2FA par SMS, en fait je parle surtout de l'omniprésence de la réinitialisation des mots de passe par SMS, de l'intégration des utilisateurs et de la récupération des comptes. Tous ces éléments sont plus ou moins faibles. Le 2FA par SMS est, lorsqu'il est proposé en option avec un 2FA plus fort, le moins mauvais des scénarios de sécurité faible, mais ce n'est pas l'objet de cet article].
Une grande partie de l'ire suscitée par les attaques par substitution de carte SIM a, à juste titre, été dirigée contre les opérateurs. En effet, ces derniers font un travail terrible pour sécuriser les numéros de téléphone de leurs clients et peuvent être tenus pour responsables de cette lacune. Mais le fait est que la sécurité des opérateurs a toujours été mauvaise, qu'elle a même été rendue mauvaise par la loi, et que d'autres entreprises ont quand même choisi de construire des systèmes critiques sur la base de ce maillon faible.
Malgré sa banalisation, il est important de rappeler que l'intégration des SMS dans les flux d'authentification a été un choix terrible et peu perspicace de la part des entreprises. Malgré une sécurité médiocre, les SMS offrent un moyen presque sans friction d'inscrire de nouveaux clients (pensez à l'onboarding d'Uber) et de gérer les réinitialisations de mot de passe, et les entreprises ont estimé qu'elles devaient s'aligner sur l'adoption de cette technique par leurs concurrents. Elles ont creusé le trou, nous y ont poussés et doivent maintenant nous en faire sortir.
Les entreprises adoptent la perspective naïve que, d'une...[/après avoir lu les commentaires de hacker news, permettez-moi d'être clair - je ne parle pas seulement du 2fa par sms, en fait je parle surtout de l'omniprésence de la réinitialisation des mots de passe par sms, de l'intégration des utilisateurs et de la récupération des comptes. tous ces éléments sont plus ou moins faibles. le 2fa par sms est, lorsqu'il est proposé en option avec un 2fa plus fort, le moins mauvais des scénarios de sécurité faible, mais ce n'est pas l'objet de cet article]
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Aiekick
