CertiK affirme que le SMS est la forme «la plus vulnérable» de 2FA utilisée

L'utilisation de SMS comme forme d'authentification à deux facteurs a toujours été populaire parmi les passionnés de cryptographie. Après tout, de nombreux utilisateurs échangent déjà leurs cryptos ou gèrent des pages sociales sur leurs téléphones, alors pourquoi ne pas simplement utiliser des SMS pour vérifier lorsqu'ils accèdent à du contenu financier sensible ?

Malheureusement, les escrocs ont récemment appris à exploiter la richesse enfouie sous cette couche de sécurité via l'échange de carte SIM, ou le processus de réacheminement de la carte SIM d'une personne vers un téléphone en possession d'un pirate. Dans de nombreuses juridictions du monde entier, les employés des télécommunications ne demanderont pas d'identification gouvernementale, d'identification faciale ou de numéros de sécurité sociale pour traiter une simple demande de portage.

Combinés à une recherche rapide d'informations personnelles accessibles au public (assez courantes pour les parties prenantes du Web 3.0) et à des questions de récupération faciles à deviner, les usurpateurs d'identité peuvent rapidement transférer le SMS 2FA d'un compte sur leur téléphone et commencer à l'utiliser à des fins néfastes. Plus tôt cette année, de nombreux Youtubeurs crypto ont été victimes d'une attaque par échange de carte SIM où des pirates ont posté vidéos d'arnaque sur leur chaîne avec un texte invitant les téléspectateurs à envoyer de l'argent dans le portefeuille du pirate informatique. En juin, le projet Solana NFT Duppies a vu son compte Twitter officiel piraté via un SIM-Swap avec des pirates tweetant des liens vers une fausse menthe furtive.

À ce sujet, Cointelegraph s'est entretenu avec l'expert en sécurité de CertiK, Jesse Leclere. Connu comme un leader dans le domaine de la sécurité de la blockchain, CertiK a aidé plus de 3,600 360 projets à sécuriser 66,000 milliards de dollars d'actifs numériques et à détecter plus de 2018 XNUMX vulnérabilités depuis XNUMX. Voici ce que Leclere avait à dire :

« Le SMS 2FA est mieux que rien, mais c’est la forme la plus vulnérable de 2FA actuellement utilisée. Son attrait vient de sa facilité d'utilisation : la plupart des gens sont soit sur leur téléphone, soit l'ont à portée de main lorsqu'ils se connectent à des plateformes en ligne. Mais sa vulnérabilité aux échanges de cartes SIM ne peut être sous-estimée.

Leclerc a expliqué que les applications d'authentification dédiées, telles que Google Authenticator, Authy ou Duo, offrent presque toute la commodité du SMS 2FA tout en supprimant le risque d'échange de carte SIM. Lorsqu’on lui demande si les cartes virtuelles ou eSIM peuvent protéger contre le risque d’attaques de phishing liées à l’échange de cartes SIM, pour Leclerc, la réponse est clairement non :

«Il faut garder à l'esprit que les attaques par échange de carte SIM reposent sur la fraude d'identité et l'ingénierie sociale. Si un mauvais acteur peut tromper un employé d'une entreprise de télécommunications en lui faisant croire qu'il est le propriétaire légitime d'un numéro attaché à une carte SIM physique, il peut également le faire pour une eSIM.

Bien qu'il soit possible de dissuader de telles attaques en verrouillant la carte SIM sur son téléphone (les sociétés de télécommunications peuvent également déverrouiller les téléphones), Leclere souligne néanmoins la référence en matière d'utilisation de clés de sécurité physiques. «Ces clés se branchent sur le port USB de votre ordinateur et certaines sont compatibles avec la communication en champ proche (NFC) pour une utilisation plus facile avec les appareils mobiles», explique Leclere. "Un attaquant devrait non seulement connaître votre mot de passe, mais aussi prendre physiquement possession de cette clé pour accéder à votre compte."

Leclere souligne qu'après avoir rendu obligatoire l'utilisation de clés de sécurité pour les employés en 2017, Google n'a connu aucune attaque de phishing réussie. « Cependant, ils sont si efficaces que si vous perdez la clé liée à votre compte, vous ne pourrez probablement pas y accéder à nouveau. Il est important de conserver plusieurs clés dans des endroits sûrs », a-t-il ajouté.

Enfin Leclere sache qu'en plus d'utiliser une application d'authentification ou une clé de sécurité, un bon gestionnaire de mots de passe permet de créer facilement des mots de passe forts sans les réutiliser sur plusieurs sites. "Un mot de passe fort et unique associé à un 2FA non SMS est la meilleure forme de sécurité de compte", a-t-il déclaré.