D’abord Twitter, puis Facebook et Instagram ont annoncé réserver aux comptes payant l’accès gratuit à l’authentification à double facteurs par SMS. Une mauvaise nouvelle qui, en fait, ne le serait pas, si l’on considère le SMS comme faible et les solutions à génération de codes aléatoires comme fortes.
Vendredi 17 février, Twitter annonçait réserver à ses comptes premium le recours à l’authentification à deux facteurs par SMS. Les autres utilisateurs disposent de 30 jours pour désactiver cette fonctionnalité et passer à un autre type d’authentification. “Bien qu’il s’agisse d’une nouvelle préoccupante, le principal enjeu de cette mesure est le fait que la majorité des utilisateurs de Twitter ne sécurisent pas leurs comptes avec une quelconque forme d’authentification multifacteurs (MFA). Selon un rapport publié par Twitter en juillet 2022, seuls 2,6 % des comptes avaient activé l’authentification à deux facteurs en décembre 2021, et 74,4 % de ces comptes utilisent le SMS comme facteur d’authentification », précise Ciarán Walsh, Associate Research Engineer chez Tenable.
« L’authentification à deux facteurs via SMS est une méthode d’authentification faible car elle peut être facilement détournée à l’aide de techniques telles que le sim swapping. L’utilisation d’une application d’authentification ou d’une clé de sécurité est considérée comme plus forte car elle n’est pas vulnérable à de telles attaques. Cependant, bien que l’authentification par SMS soit considérée comme faible, elle reste plus sûre que l’utilisation d’un simple mot de passe.”
Le SMS authentificateur finalement faible
S’il y a nécessairement des raisons économiques derrière ces décisions (le SMS coûte en effet très cher aux plateformes), on pourrait penser, de prime abord, que rendre payant une sécurité renforcée payante ouvrirait la voie à un concept de sécurité à deux vitesses. Après tout, les escroqueries via usurpation de compte sont monnaie courante sur les réseaux sociaux, les protéger devrait être une priorité non monnayable !
“On pourrait également voir le bon côté des choses. Je pense, au contraire, qu’il y a une opportunité à saisir pour sensibiliser l’utilisateur et l’inviter à se poser des questions sur sa sécurité en ligne. Comme par exemple envisager de gérer lui-même cette authentification forte en ayant recours à des applications tierces, comme celle à génération de code aléatoire et qui sont très efficaces !”, met en perspective Benoit Grunemwald, expert en cybersécurité chez Eset France. MS Authenticator, Google Authenticator, Authy, etc. sont disponibles gratuitement et permettent de gérer l’accès à un grand nombre de portails. Pour ceux qui veulent aller plus loin, des tokens physiques, sous forme de clé USB comme ubikey sont également accessibles à tous contre une soixantaine d’euros.
“Je rejoins les discours qui soulignent la faiblesse de l’authentification par SMS. Lors du Panocrim du Clusif, le 26 janvier dernier, nous avons pointé du doigt la possible fatigue des utilisateurs face aux SMS. Comment, en inondant l’utilisateur de SMS au cœur de la nuit pour qu’il finisse par accepter la demande. Cette technique s’est révélée efficace, nous l’avons découverte dans une conversation interceptée entre deux pirates”, conclut Benoît Grunemwald.
