Le FBI met en garde contre un contournement possible de la vérification à deux facteurs
Le FBI signale à ses partenaires que l’authentification multi-facteur, à savoir se connecter au moyen d’un code supplémentaire ou d’un SMS, peut également être contournée. Elle n’en reste pas moins l’option la plus sûre.
La ‘multi factor authentication’ (MFA), cela revient à se connecter quelque part et à devoir utiliser, en plus d’un mot de passe, un SMS ou une clé USB spéciale pour obtenir l’accès. Un service évite ainsi que quelqu’un qui a réussi à dérober votre mot de passe, puisse se connecter à votre place.
Même si la MFA (ou la 2FA, l’authentification à deux facteurs) est encore et toujours à conseiller, le FBI prévient à présent ses partenaires que la mesure de sécurité peut être contournée. L’organisme a donc envoyé une note dans ce sens à ses partenaires, note que ZDNet.com a pu consulter.
L’organisme public américain cite plusieurs exemples s’échelonnant entre 2016 et aujourd’hui. Le plus souvent, il s’agit d’incidents de ‘SIM swapping’ (échange de cartes SIM). Tel est le cas quand quelqu’un peut prendre le contrôle d’un numéro de téléphone d’un tiers et reçoit donc ainsi aussi les codes qu’un service web envoie au téléphone de cette personne pour permettre l’accès. Le ‘SIM swapping’ n’est du reste pas en Europe un problème aussi fréquent qu’aux Etats-Unis. Il se manifeste souvent via le service clients, où un escroc parvient à convaincre l’opérateur qu’il est vous et que ce dernier vous envoie une nouvelle carte SIM avec votre numéro.
D’autres méthodes de contournement de la MFA consistent en des failles sur des sites web permettant d’intercepter en temps réel des codes de connexion supplémentaires ou temporaires.
On ne connaît pas encore l’importance exacte du problème. La semaine dernière, Microsoft laissait entendre que le nombre d’incidents dus au contournement de la MFA était extrêmement faible et que la mesure de sécurité rejetait 99 pour cent de toutes les tentatives visant à prendre le contrôle du compte de quelqu’un. Le FBI insiste lui-même aussi sur le fait de ne pas vouloir s’en prendre à la MFA, qui demeure une mesure conseillée pour sécuriser les comptes en ligne. Mais il souhaitait prévenir que la technique n’est pas infaillible.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici