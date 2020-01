Des chercheurs de l’Université de Princeton se demandaient si la messagerie texte SMS est une méthode d’authentification sécurisée à utiliser comme un facteur dans une configuration d’authentification à deux facteurs (2FA). La réponse s’est avérée être un non catégorique, d’autant plus que l’équipe a commencé à attaquer les forfaits prépayés sur les plus grands opérateurs mobiles.

Si un attaquant peut prendre le contrôle d’un numéro de téléphone en basculant le compte d’une victime sur la carte SIM de l’attaquant, l’attaquant peut alors détourner le processus de vérification qui utilise SMS en recevant les messages texte d’authentification à la place de la victime. Dans dix tentatives sur dix pour voler des numéros de clients prépayés sur AT&T, Verizon et T-Mobile, les chercheurs ont pu transférer le compte sur leur propre carte SIM. Les tentatives sur Tracfone et US Mobile ont été moins réussies, mais ces opérateurs n’étaient pas complètement sécurisés.

Dans certains cas, les chercheurs ont appelé pour essayer de voler l’identité d’un utilisateur et le représentant du service clientèle les a guidés vers les bonnes réponses de vérification d’identité, ou a simplement donné à l’attaquant l’accès même après avoir deviné incorrectement. Les chercheurs ont constaté une grande incohérence, des échecs occasionnels de vérifier complètement l’identité et généralement une faiblesse suffisante dans les politiques de sécurité pour recommander d’éviter les SMS comme méthode d’authentification par mot de passe. Depuis que l’étude a été révélée aux transporteurs l’année dernière, T-Mobile a déclaré avoir mis à jour ses méthodes de vérification pour éviter les contrôles moins sécurisés.

Le rapport suggère que les opérateurs abandonnent toutes les méthodes malsaines et non sécurisées actuellement utilisées et passent à des méthodes sécurisées comme un mot de passe / code PIN de compte, ou au moins un code à usage unique envoyé directement à l’utilisateur par SMS ou e-mail. De nombreuses formes d’identification actuelles, comme l’adresse municipale, la date de naissance et certaines informations de carte de crédit, peuvent être trouvées par le biais de recherches dans les dossiers publics. Les informations d’identification, telles que la date du dernier paiement de la victime ou les numéros de téléphone des derniers appelants, peuvent être manipulées ou usurpées pour tromper les représentants. Il est également recommandé aux sites Web de cesser d’utiliser SMS dans le cadre d’un schéma d’authentification multifacteur.

