Il vient d’être démontré que les sécurités 2FA (2-factors authentication) ne sont pas toujours aussi sécurisées que l’on pourrait le penser. La faute à une faille dans les réseaux mobiles.

Afin de rajouter une couche de sécurité, de plus en plus de services font appel à une identification à deux facteurs. En plus d’un login et d’un mot de passe, le service demande à l’utilisateur de confirmer qu’il est bien l’instigateur de la requête en passant par son téléphone (ou tout autre appareil qu’il peut transporter sur lui). Cela peut se faire par une notification ou bien par un code reçu bien souvent par SMS (c’est le cas par exemple de la célèbre application WhatsApp ou encore d’Instagram). Les experts en sécurité de Positive Technologies ont démontré que cette dernière solution était loin d’être totalement fiable.

Les SMS sont une faiblesse

Dans une vidéo, les hackers expliquent que des failles du réseau de télécommunications (via le protocole Signaling System #7, ou SS7) permettent d’intercepter des SMS envoyés à un numéro. Dans leur exemple, le « pirate » n’a besoin que de quelques informations plutôt faciles à trouver sur sa cible : un nom, un prénom, une adresse e-mail et un numéro de téléphone.

À l’aide de ces quelques données, il est alors possible de prendre possession d’un compte Gmail, de changement le mot de passe et enfin de récupérer les paramètres d’identification de sites tiers, comme ici pour un portefeuille de cryptomonnaies.

Lien Youtube
Chaine Youtube FrAndroid

Exploiter les failles du réseau SS7 n’est cependant pas chose aisée et un outil capable de récupérer ce genre de données peut coûter jusqu’à 20 millions de dollars au marché noir selon Ability Inc., une société de surveillance israélienne. Des chercheurs de Positive Technologies expliquent qu’« il est plus simple et moins cher d’avoir directement accès au réseau d’interconnexion SS7 plutôt que d’essayer de trouver un outil de piratage SS7 prêt à l’emploi ».

Il est donc conseillé d’utiliser d’autres méthodes d’identification 2FA, comme une application, ou de s’assurer qu’il existe des méthodes alternatives de récupération de compte, comme le propose Google par exemple.