Dans cet article, nous allons aborder le problème des attaques par substitution de carte SIM et pourquoi les entreprises qui utilisent les SMS pour la connexion et la réinitialisation des mots de passe devraient en être tenues responsables. Ces entreprises, telles qu’Apple, Dropbox, PayPal, Block et Google, ont adopté cette idée dangereuse. Les conséquences sont nombreuses : vols d’argent et d’informations sensibles, notamment.
Les entreprises doivent prendre leurs responsabilités face aux attaques par substitution de carte SIM
Dans cet article, nous avons examiné le problème des attaques par substitution de carte SIM et pourquoi les entreprises utilisant les SMS pour la connexion et la réinitialisation des mots de passe devraient en être tenues responsables.
Points clés face aux attaques par substitution de carte SIM:
- L’utilisation des SMS pour l’authentification n’est pas sûre et peut être comparée à l’envoi d’une carte postale par courrier, facilement interceptable.
- Les opérateurs mobiles ont une part de responsabilité dans les attaques par substitution de carte SIM en raison de la mauvaise sécurisation des numéros de téléphone de leurs clients.
- Des entreprises telles qu’Apple et Google ont adopté l’utilisation des SMS pour l’authentification, contribuant ainsi à la multiplication des attaques.
- Il existe des alternatives plus sécurisées aux SMS, telles que Google Authenticator, Authy et les clefs physiques (U2F), qui offrent une double authentification plus fiable.
- Il est essentiel que les entreprises prennent leurs responsabilités en adoptant des méthodes d’authentification plus sûres pour protéger la sécurité des données de leurs clients.
Pourquoi les SMS ne sont pas une bonne solution pour la sécurité
Il est important de souligner que l’utilisation des SMS pour se connecter à un compte ou autoriser une réinitialisation de mot de passe par SMS n’est pas une méthode sûre. Si la double authentification 2FA via SMS est proposée, elle ne devrait être mise en place que si des options plus sécurisées, comme Authy ou Google Authenticator, sont disponibles.
Pendant des années, l’industrie a affirmé que l’authentification par SMS était globalement bénéfique pour la sécurité des clients, en raison de sa simplicité. Cependant, cette affirmation semble plutôt arrogante, voire irresponsable.
Ainsi, l’utilisation des SMS dans les processus d’authentification peut être comparée à l’envoi d’une carte postale par courrier : il s’agit d’un moyen de communication peu sécurisé et facilement interceptable.
Lire : Innovations dans le domaine des cartes SIM : les iSIM et eSIM
La part de responsabilité des opérateurs mobiles
Une grande partie de la colère suscitée par les attaques par substitution de carte SIM est légitimement dirigée vers les opérateurs mobiles. En effet, ces derniers ont souvent une mauvaise sécurisation des numéros de téléphone de leurs clients et sont en partie responsables de cette faille. Il convient de noter que la sécurité des opérateurs a toujours été médiocre et même affaiblie par certaines régulations.
Malgré cela, d’autres entreprises ont décidé de baser leurs systèmes de sécurité sur ce maillon faible qu’est la téléphonie mobile, mettant ainsi en danger la sécurité de leurs utilisateurs.
Les conséquences de l’adoption de cette technologie défectueuse
Voici quelques exemples d’entreprises ayant adopté l’utilisation des SMS pour la connexion et la réinitialisation des mots de passe :
- Apple : En 2018, Apple a annoncé une fonctionnalité de clavier permettant de remplir automatiquement les codes de passe reçus par SMS sur iPhone
- Google : Google a emboîté le pas l’année suivante, en 2019
Cette adoption généralisée et aveugle des SMS dans les processus d’authentification a conduit à une multiplication des attaques par substitution de carte SIM. La solution serait simple : mettre fin à l’utilisation des SMS pour se connecter aux comptes ou autoriser les réinitialisations de mots de passe.
Comment convertir sa carte SIM en eSIM : Tout ce que vous devez savoir
Les alternatives aux SMS pour garantir une meilleure sécurité
Afin de protéger les utilisateurs et éviter les attaques par substitution de carte SIM, certaines alternatives plus sécurisées peuvent être envisagées :
- Google Authenticator : Il s’agit d’une application mobile qui génère des codes de validation à usage unique à chaque connexion, offrant ainsi une double authentification (2FA) plus sécurisée.
- Authy : Comme Google Authenticator, Authy est aussi une application de 2FA basée sur un code à usage unique. Elle propose également des options supplémentaires, telles que la synchronisation entre appareils et la sauvegarde cryptée des clés dans le cloud.
- Clef physique (U2F) : Une autre alternative consiste à utiliser une clef physique, comme YubiKey ou Titan Security Key, pour se connecter aux comptes sans avoir besoin d’un code par SMS.
En conclusion, les entreprises doivent prendre leurs responsabilités face aux attaques par substitution de carte SIM en cessant d’utiliser les SMS pour se connecter à leur compte et réinitialiser les mots de passe.
Il existe des alternatives plus sûres et efficaces pour protéger leurs clients et il est grand temps de les adopter. La sécurité des données est primordiale et doit être au cœur des préoccupations des entreprises du secteur numérique.
Sommaire
- 1 Points clés face aux attaques par substitution de carte SIM:
- 2 Pourquoi les SMS ne sont pas une bonne solution pour la sécurité
- 3 La part de responsabilité des opérateurs mobiles
- 4 Les conséquences de l’adoption de cette technologie défectueuse
- 5 Les alternatives aux SMS pour garantir une meilleure sécurité
