Une agence américaine déconseille le recours à l’authentification en deux étapes par SMS
Une agence américaine déconseille le recours à l’authentification en deux étapes par SMS
Selon l’Institut national des normes et de la technologie, la vérification en deux étapes par SMS, un outil prisé de nombreuses entreprises pour sécuriser des opérations en ligne, expose ses utilisateurs à des risques de piratage.
L’agence fédérale américaine préconise l’envoi de SMS de validation par le biais d’applications sécurisées. | CAROLYN KASTER / AP
De nombreux réseaux sociaux – Facebook, Google, Twitter – et entreprises y recourent pour sécuriser des opérations importantes (connexion à un compte, validation d’un paiement en ligne…) mais, à en croire l’Institut national américain des normes et de la technologie (NIST), l’authentification en deux étapes par SMS serait en réalité dangereuse pour les utilisateurs.
Le principe de ce système est très simple : au moment de valider son achat ou d’authentifier son compte, l’utilisateur ou l’utilisatrice concerné(e) reçoit un SMS contenant un code à usage unique. Une fois cette série de chiffres saisie sur la page demandée, l’opération est finalisée. Mais le processus n’est pas infaillible : le NIST souligne que des pirates ayant préalablement installé un logiciel malveillant sur le téléphone peuvent rediriger l’envoi du SMS vers un autre smartphone. Ils risquent aussi de réussir à lire le texto en question si le code est communiqué par le biais de systèmes tels que la VoIP (la diffusion de voix par Internet à la place d’un réseau téléphonique).
Dans son guide de conduite pour l’authentification en ligne, l’agence fédérale préconise donc l’envoi des fameux codes au sein d’une application sécurisée, comme le fait déjà Google avec son outil Authenticator : pour se connecter à son compte, il faut non seulement saisir son mot de passe habituel mais également le code temporaire généré directement dans l’application.