Microsoft invite ses utilisateurs Ă  ne plus utiliser l’authentification multi-facteurs par smartphone

Par Catalin Cimpanu
()
|
Modifié le

Microsoft exhorte les utilisateurs Ă  abandonner les solutions d’authentification multifactorielle (AMF) basĂ©es sur le smartphone, comme les codes uniques envoyĂ©s par SMS ou communiquĂ© par appel vocal, et Ă  les remplacer par des technologies d’authentification multifacteurs (AMF) plus rĂ©centes, comme les authentificateurs basĂ©s sur des applications et les clĂ©s de sĂ©curitĂ©.

L’avertissement provient de Alex Weinert, directeur de la sĂ©curitĂ© des identitĂ©s chez Microsoft. Depuis un an, ce dernier dĂ©fend les intĂ©rĂȘts de Microsoft, en exhortant les utilisateurs Ă  adopter et Ă  activer l’authentification multifacteurs pour leurs comptes en ligne.

Citant des statistiques internes de Microsoft, Alex Weinert affirmait sur un blog l’annĂ©e derniĂšre que les utilisateurs ayant activĂ© l’authentification multifacteurs ont fini par bloquer environ 99,9 % des attaques automatisĂ©es contre leur compte Microsoft. Mais dans un billet publiĂ© hier sur son blog, il affirme que si les utilisateurs doivent choisir entre plusieurs solutions d’AMF, ils devraient Ă©viter celles qui impliquent un tĂ©lĂ©phone.

Le responsable de Microsoft cite plusieurs problĂšmes de sĂ©curitĂ© connus, non pas avec l’AMF, mais avec l’Ă©tat des rĂ©seaux tĂ©lĂ©phoniques aujourd’hui. Il explique que les SMS et les appels vocaux sont transmis en clair et peuvent ĂȘtre facilement interceptĂ©s par des attaquants, en utilisant des techniques et des outils comme les outils logiciels radios, les cellules FEMTO ou les services d’interception SS7. Les codes Ă  usage unique basĂ©s sur des SMS sont Ă©galement susceptibles d’ĂȘtre hameçonnĂ©s via des outils de phishing open source facilement accessibles comme Modlishka, CredSniper ou Evilginx.

De plus, les employĂ©s des rĂ©seaux tĂ©lĂ©phoniques peuvent ĂȘtre amenĂ©s Ă  transfĂ©rer des numĂ©ros de tĂ©lĂ©phone sur la carte SIM d’un pirate – dans le cadre d’attaques connues sous le nom de SIM swapping – permettant aux attaquants de recevoir des codes uniques d’AMF au nom de leurs victimes.

En outre, les rĂ©seaux tĂ©lĂ©phoniques sont Ă©galement exposĂ©s aux changements de rĂ©glementation, aux temps d’arrĂȘt et aux problĂšmes de performance, qui ont tous un impact sur la disponibilitĂ© du mĂ©canisme d’AMF, ce qui, Ă  son tour, empĂȘche les utilisateurs de s’authentifier sur leur compte dans les moments d’urgence.

Les SMS et les appels vocaux sont la mĂ©thode d’AMF la moins sĂ»re aujourd’hui

Tous ces Ă©lĂ©ments font de l’AMF par SMS et par appel « la moins sĂ»re des mĂ©thodes d’AMF disponibles aujourd’hui », selon Alex Weinert.

Comme l’adoption de l’AMF augmente globalement, les attaquants s’intĂ©ressent aussi de plus en plus aux maniĂšres de cracker ces mĂ©thodes, les SMS et les appels vocaux devenant naturellement leur cible principale en raison de son adoption Ă  grande Ă©chelle.

Alex Weinert ajoute que les utilisateurs devraient activer un mĂ©canisme d’AMF plus fort pour leurs comptes, s’il est disponible, en recommandant l’application Authenticator de Microsoft comme un bon point de dĂ©part.

Mais si les utilisateurs veulent le meilleur de ce qui existe dans ce champs technologique, ils devraient opter pour des clĂ©s de sĂ©curitĂ© matĂ©rielles, que le responsable classe comme la meilleure solution d’AMF dans un billet de blog publiĂ© l’annĂ©e derniĂšre.

Source : ZDNet.com

Par Catalin Cimpanu
()
|
Modifié le

source : AMP – a web component framework to easily create user-first web experiences – amp.dev November 15, 2020 at 09:43PM