Des révélations récentes sur le traçage des utilisateurs par un service d’authentification par SMS soulignent que cette méthode ne répond plus aux normes de sécurité requises sur le web. Bien que pratique, l’authentification par SMS n’offre pas le même niveau de sécurité qu’une clé d’accès physique ou une application dédiée. Ce système, qui consiste à recevoir un code par SMS pour confirmer son identité, est devenu indispensable tant pour les sites internet que pour les jeux vidéo.
Un service vulnérable aux attaques
Contrairement à ce que l’on pourrait penser, ces SMS ne sont pas uniquement envoyés par l’entreprise ou le site web que l’on cherche à accéder. Une enquête approfondie menée par Bloomberg et Lighthouse Reports révèle que ce service est souvent géré par une entreprise suisse, Fink Telecom Services, qui entretient des liens avec diverses agences d’espionnage à travers le monde.
La double authentification par SMS : la solution la moins sécurisée
Les enquêtes indiquent que Fink est impliquée dans des affaires de piratage, permettant d’accéder aux comptes de certains utilisateurs pour les surveiller. Bien que le fondateur de Fink ait nié toute ingérence dans le trafic entre les opérateurs et les clients, il reste que l’authentification par SMS est considérée comme la méthode d’authentification à double facteur la moins sécurisée.
Cette vulnérabilité s’explique par la possibilité de détourner votre numéro de téléphone, ce qui permettrait à un tiers de recevoir votre code sur un appareil distinct. Cette faiblesse concerne également les codes envoyés par e-mail.
Étonnamment, des entreprises majeures comme Google et la messagerie chiffrée Signal ont déjà abandonné l’utilisation de l’authentification par SMS. De plus, Meta a averti ses partenaires de ne pas recourir aux services de Fink.
Quelles alternatives pour renforcer la sécurité ?
Heureusement, de nouvelles solutions d’authentification ont vu le jour au fil des ans. Parmi celles-ci, des applications comme Google Authenticator ou Microsoft Authenticator, qui génèrent des codes aléatoires valables pour quelques secondes, se distinguent par leur sécurité accrue.
Il existe également des clés d’identification qui utilisent votre smartphone, vous permettant ainsi de vous affranchir des mots de passe. En scannant un QR Code, vous pouvez vous authentifier par votre empreinte digitale ou la reconnaissance faciale. Enfin, pour une meilleure sécurité, l’utilisation d’un gestionnaire de mots de passe est recommandée, car il peut stocker et suggérer des mots de passe diversifiés et robustes.