L'authentification à deux facteurs et les numéros de téléphone recyclés sont un risque de sécurité
L’authentification à deux facteurs est censée conduire à une sécurité accrue. Cette étape supplémentaire est censée empêcher les spammeurs de pénétrer dans votre compte. En apprenant simplement un point d’accès, ils doivent néanmoins franchir une étape supplémentaire qu’ils ne connaissent probablement pas. Cependant, des chercheurs ont découvert que l’authentification à deux facteurs peut entraîner un risque de sécurité avec des numéros de téléphone recyclés.
Les numéros de téléphone recyclés exposent les comptes 2FA
Que ce soit parce qu’ils déménagent ou changent d’opérateur de téléphonie mobile, les gens changent de numéro de téléphone de temps en temps. Mais il n’y a pas une offre illimitée de numéros de téléphone inutilisés. En raison de cela, les numéros de téléphone abandonnés sont souvent recyclés. Vous avez peut-être découvert cela lorsque vous avez pris un nouveau numéro et que vous êtes dérangé par une série d’appels pour la personne qui était précédemment connectée à ce numéro.
Vous pourriez être dérangé par plus que cela. Si le numéro était précédemment attaché à l’authentification à deux facteurs, les informations des comptes sont soumises à un risque de sécurité. Maintenant, au lieu d’avoir besoin des deux facteurs pour accéder, tout ce qui est nécessaire est le numéro de téléphone.
Des chercheurs de l’Université de Princeton ont découvert le risque de sécurité associé à l’authentification à deux facteurs et aux numéros de téléphone recyclés. Sur plus de 250 numéros de téléphone échantillonnés par les chercheurs, 17 étaient connectés à des comptes sur des sites Web populaires. Ces numéros échantillonnés étaient disponibles auprès de deux grands opérateurs.
“De plus, une majorité des numéros disponibles ont conduit à des résultats sur des services de recherche de personnes, qui fournissent des informations personnellement identifiables sur les anciens propriétaires. En outre, une fraction significative (100 sur 259) des numéros étaient liés à des identifiants de connexion divulgués sur le Web, ce qui pourrait permettre des détournements de compte qui contournent l’authentification multi-facteurs basée sur SMS,” ont détaillé les chercheurs dans leur étude.
“Nous avons également trouvé des faiblesses de conception dans les interfaces en ligne des opérateurs et les politiques de recyclage des numéros qui pourraient faciliter des attaques impliquant le recyclage des numéros.”
Les nouveaux propriétaires des numéros de téléphone sont soumis à des appels et messages liés à la sécurité et à la vie privée, y compris des choses comme des codes d’authentification. Les chercheurs de Princeton pensent que les nouveaux propriétaires pourraient être incités à exploiter les comptes auxquels ces nouveaux numéros sont connectés.
Limiter le risque de sécurité
Que pouvez-vous faire lorsque vous changez de numéro de téléphone pour limiter le risque de sécurité de vos comptes qui étaient à un moment connectés à l’authentification à deux facteurs ? Retrouver tous ces comptes protégés par l’authentification à deux facteurs serait un cauchemar.
Les chercheurs de Princeton estiment que vous devriez “parquer” votre ancien numéro lorsque vous passez à un nouveau. Vous pouvez le faire avec un service de parking, un opérateur de réseau mobile virtuel (MVNO) ou un fournisseur de VOIP. Cela pourrait vous donner le temps nécessaire pour mettre à jour vos paramètres 2FA sur vos anciens comptes.
Sachez que, malgré cette préoccupation, l’authentification à deux facteurs reste une méthode de sécurité importante. Lisez la suite pour apprendre à configurer l’authentification à deux facteurs sur divers réseaux sociaux autres que Twitter, qui n’a plus besoin de numéros de téléphone pour l’authentification à deux facteurs.
