Votre avis sur la double authentification et les SMS

Vous en pensez quoi ?

Le problème exposé dans ce sujet a été résolu.

Bonjour,

Je voudrais savoir ce que vous pensez de la double authentification en général, puis plus précisément par SMS quel est votre avis (d’un point de vue sécurité) ?

J’ai l’impression qu’on pourrait facilement se jouer du SAV de l’opérateur pour détourner une carte SIM ou intercepter le courrier ou plus simplement le SMS en étant a proximité. Je suis curieux de voir une personne/blogueur essayait de se jouer du SAV.

Dans de nombreux sites cette authentification joue un rôle majeur dans la sécurité, les sites ont une totale confiance en cette deuxième authentification alors qu’on peut en douter.

Cette double authentification devient quasiment comme un deuxième mot de passe. Ce code donne quasiment plus de pouvoir qu’un mot de passe sur certain site.

Pour les applications d’authentification en particulier : Certain site ne prennent pas en considération la possibilité que le système supportant l’application de double authentification peut faillir et rende difficile le changement d’application si on n’a pas sauvegardé le "code magique". Donc j’utilise les SMS pour leur fiabilité mais je deviens parano sur le risque. :(

Qu’en pensez vous ?

Merci,

A-312, un pilote qui ne veut pas perdre son compte d’aviateur.

+0 -0

Ça a été prouvé faillible techniquement mais souvent avec des moyens non néglieable tout de même. Et on vu quelques attaques d’ingénieurie sociale.

Quand je peux je préfère la double authentification par d’autres moyens.

+0 -0

Salut. Ce qui suit représente mon avis et est plutôt subjectif.

Le deuxième facteur par SMS est pas mal. En gros, tout dépend de la sensibilité de l’appli et de l’intérêt qu’à un attaquant à t’attaquer toi en particulier… intérêt souvent assez faible.

Il faut aussi penser que l’attaquant cherche dans 99,9% des cas à se faire de l’argent facilement. Donc perso si je suis un attaquant je vais pas aller attaquer l’appli où je dois sniffer le réseau de l’opérateur ou faire 100 trucs avec un SAV. A sensibilité de data égale, je vais aller attaquer un site qui ne propose pas de "double auth".

Alors oui en théorie c’est faible, c’est pas de l’authentification forte et c’est cassable par quelqu’un d’un niveau technique moyen.

Mais en étant pragmatique, s’il faut que l’utilisateur installe quelque chose, souvent il fera pas (genre les banques qui utilisent cette solution pour pas saouler leurs utilisateur). Sensiblement tout le monde a un smartphone et peut recevoir des SMS. Tu t’exposes à un risque pour ton appli quand tu le mets en place. A toi de le maîtriser. Si ton appli est archi critique c’est souvent pas une bonne solution. Mais souvent c’est pas mal.

+0 -0

Salut,

Dans « double-authentification » il y a avant tout « double ». Ça ne remplace pas le mot de passe, ça le complète avec un code d’identification jetable.

On peut parfaitement en douter, c’est une méthode faillible, mais déjà plus sûre qu’un simple mot de passe.

Pour ce qui est des codes de secours, il faut évidemment prendre soi de les noter et les stocker dans un endroit sûr.

+3 -0

Si on prend Gmail comme exemple, pour demander une réinitialisation du mot de passe, il demande simplement un numéro envoyé par sms…

A-312

Y’a plusieurs choses à prendre en compte :

  • C’est techniquement compliqué d’intercepter des SMS. Il faut être proche de la cible et utiliser du matériel adapté, et très fortement régulé puisque considéré comme de l’armement.
  • Les services trackent les appareils utilisés pour la connexion : en plus d’avoir l’utilisateur et son mobile à portée d’IMSI catcher, il faut encore être capable de spoofer, non pas le mobile, mais l’appareil dont l’utilisateur se sert généralement pour se connecter.
  • Les services trackent les tentatives de connexion et les réinitialisations de mot de passe : typiquement sur un compte Google, si une demande de réinitialisation est faite, ça fait du bruit et c’est annulable en un clic. L’utilisateur légitime peut donc réagir, ou alors il faut que l’attaquant soit capable de bloquer, dans la foulée, ces contremesures en étouffant toutes les notifs/emails qui sont produits par l’événement.

Alors certes la sécurité n’est pas parfaite et ça reste théoriquement possible de casser un compte, mais ça demande quand même des conditions (équipement, situation géographique, timing, …) suffisamment compliquées à reproduire pour que l’attaquant privilégie d’autres méthodes, en exploitant plutôt des failles humaines que techniques.

+5 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte