Les facteurs supplémentaires d’authentification ne présentent pas tous les mêmes niveaux de sécurité. Si certains sont assez simples à contourner, d’autres permettent sereinement d’envisager un monde sans mots de passe. Notre consultant Guillaume KADDOUCH nous explique pourquoi, dans un article pour le magazine Cyberun.
Que le MFA soit encouragé par tous les géants du Web et utilisé par les banques ne doit pas pour autant donner l’illusion d’une sécurité infaillible. En effet, si, par exemple, le second facteur se trouve sur votre téléphone (SMS, Google Authenticator, Microsoft Authenticator, Apple 2FA, etc.), un attaquant, sans être en possession de ce dernier, peut réussir à contourner cette authentification. Si certaines attaques nécessitent des ressources financières et des connaissances importantes, d’autres sont d’une simplicité déconcertante…
Par exemple, un SMS est un message envoyé en clair sur le réseau opérateur, il n’est pas chiffré, il est donc interceptable, voire rejouable. Un attaquant ayant compromis le réseau opérateur est donc en position d’obtenir le code envoyé par SMS et de l’utiliser avant l’utilisateur final, ou de le rejouer. Certaines techniques plus avancées et ciblées, telles que l’utilisation d’un IMSI-catcher, peuvent permettre à un attaquant déterminé d’intercepter les données échangées via le smartphone.
Découvrir l’article dans son intégralité
Laisser un commentaire