En matière de sécurité informatique, vous avez certainement entendu dire qu’il est plus que recommandé d’activer la double authentification (aussi appelée authentification forte ou authentification à deux facteurs) sur le maximum de sites et de services sur lesquels vous avez un compte. En effet, grâce à ce procédé, vos espaces gagnent une protection de plus, qui vient après votre mot de passe.
Il s’avère toutefois que toutes les solutions en matière de double authentification ne se valent pas. Et c’est justement sur les différences existantes d’une approche à l’autre que Bitdefender, une entreprise roumaine spécialisée dans les antivirus, s’est pris les pieds dans le tapis. Dans un billet de blog publié le 15 janvier, elle a laissé entendre que la double authentification basée sur le SMS était à éviter.
Il est vrai que la double authentification basée sur le SMS est moins sûre qu’une méthode reposant sur une application mobile, à cause d’une technique appelée « SIM swap scam ». Il s’agit d’une fraude trompant la double authentification basée sur le SMS, en détournant le numéro de téléphone sur une autre carte SIM que celle, légitime, du propriétaire, en faisant croire à l’opérateur que celle-ci a été perdue. De cette façon, le SMS de sécurité arrive non pas sur la première carte SIM, mais sur la seconde.
Mieux vaut la double authentification par SMS que rien du tout
Le SIM Swapping est anecdotique en France, selon un lobby des télécoms. Par ailleurs, il est en recul, d’après un rapport de 2017 de l’observatoire de la sécurité des moyens de paiement, publié par la Banque de France.
Mais la manière dont Bitdefender a rédigé son billet de blog a créé un émoi certain parmi les spécialistes en sécurité informatique. Initialement, ce papier visait à pointer du doigt le fait qu’aux États-Unis les opérateurs de téléphonie mobile sont en majorité « vulnérables aux attaques de SIM swapping et ne disposent pas de procédures adéquates pour lutter contre les pirates informatiques ». Malheureusement, le récit final produit par l’entreprise a donné l’impression qu’il fallait renoncer à cette sécurité.
« La formulation de l’article parlant de double authentification et de SMS était mauvaise. Point barre. En tant qu’entreprise de sécurité, nous encourageons vivement tout le monde à utiliser la double authentification chaque fois que c’est possible, tout en notant que certains mécanismes de double authentification sont plus sûrs que d’autres et qu’il existe, en effet, des attaques ciblant les doubles authentifications basées sur les SMS », réagit le groupe sur Twitter le 21 janvier.
En définitive, tout est rentré dans l’ordre après les explications de Bitdefender. Certes, il vaut mieux utiliser une sécurité reposant sur une application dédiée, sur laquelle sont générés des codes provisoires à inscrire lors de la connexion, ou d’utiliser la vérification d’accès que certains sites envoient sur le smartphone associé au compte. Mais s’il n’y a pas d’alternative, alors il n’y a pas à hésiter. La double authentification par SMS, aussi imparfaite soit-elle, est toujours préférable à rien du tout.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !