Depuis déjà bon nombre d'années, la majorité des sites et services proposent l’authentification à deux étapes. Le but de tout cela ? Ajoutez une couche de protection de vos données, mais aussi vous protéger du piratage. De l’application tierce qui vous fournit un code unique, au SMS de confirmation, la double authentification est devenue la norme, et pourtant, elle présentait des failles.
Les failles de sécurité de la double authentification
Alors que la double authentification est disponible sur la majorité des sites et applications comme Discord ou YouTube, différents groupes de hackers l’affirment : cette sécurité n’est plus suffisante.
Ce sont les membres du groupe de hackers Lapsus$ ou encore Nobelium, responsable de vol de données chez Microsoft et SolarWinds qui ont notamment réussi l’exploit de contourner les mesures de sécurité imposées par cette double authentification.
Même si le fait de recevoir un code unique par SMS ou application tierce devrait en principe vous protéger contre le piratage de votre mot de passe, dans les faits, ce serait sous-estimer les hackers qui ont trouvé des moyens détournés d’obtenir votre code.
Le directeur de WatchGuard France précise que les pirates informatiques utilisent pas mal ce que l’on nomme le “piratage social”. Le but est d’intervenir entre le moment où vous vous connectez à une application et la réception du SMS pour vous en envoyer un faux, où l’on vous demandera de taper votre mot de passe. D’autres méthodes ont été envisagées, comme la capacité à diriger des SMS en piratant directement votre opérateur.
Des hackers et des experts en cybersécurité travaillent “main dans la main” dans le but de découvrir des brèches, et de les colmater. Mais le problème qui se pose est le suivant : est-ce que rajouter une couche de protection ne va pas rendre la connexion aux applications terriblement frustrantes ?
En témoigne le nombre de posts par jour sur différents forums, où des utilisateurs pestent contre cette double authentification, à cause d’un code non reçu ou d’autres soucis techniques.
Que ce soit par des applications tierces comme Google Authentificator ou bien par SMS sur votre smartphone, la double authentification pourrait bien être de l’histoire ancienne, mais alors, comment régler ce problème ?
Quelles solutions pour régler ces problèmes de sécurité ?
Qu’on se le dise, ajouter une troisième authentification serait une très mauvaise idée. D’une part frustrante pour les utilisateurs, cela reviendrait à ajouter une couche supplémentaire qui devrait mettre en place une authentification par deux services différents en plus du mot de passe initial.
Le souci ici, c’est que d’autres pirates utilisent des algorithmes avancés pour déchiffrer des codes, en testant des millions de combinaisons automatiquement. En plus de cela, si un pirate parvient à accéder à votre messagerie, il pourra contourner ce problème de double authentification très facilement.
Dites vous que des pirates informatiques sont parvenus à copier le signal d’un boîtier d'autorisation 2FA, qui demande pourtant un clic supplémentaire par l’utilisateur initial. Des hackers sont déterminés à obtenir ce qu’ils veulent, mais il faut penser aussi à une chose : plus la tâche est compliquée, moins cela sera rentable pour le pirate.
Imaginez, passer des dizaines de minutes, voir des heures pour obtenir les informations d’une seule personne, ce serait une énorme perte de temps pour le hacker. Ainsi, ils réfléchissent aux méthodes les plus rentables en terme d’investissement afin d’obtenir le maximum de données dans un temps imparti.
Pour le moment, les spécialistes de la cybersécurité conseillent d’utiliser la MFA, authentification multifacteur, qui vous permet d’avoir une couche de sécurité supplémentaire en vous demandant une nouvelle étape de vérification.