L'utilisation de SMS comme forme d'authentification à deux facteurs a toujours été populaire parmi les passionnés de cryptographie. Après tout, de nombreux utilisateurs échangent déjà leurs cryptos ou gèrent des pages sociales sur leurs téléphones, alors pourquoi ne pas simplement utiliser des SMS pour vérifier lorsqu'ils accèdent à du contenu financier sensible ?
Malheureusement, les escrocs ont récemment appris à exploiter la richesse enfouie sous cette couche de sécurité via l'échange de carte SIM, ou le processus de réacheminement de la carte SIM d'une personne vers un téléphone en possession d'un pirate. Dans de nombreuses juridictions du monde entier, les employés des télécommunications ne demanderont pas d'identification gouvernementale, d'identification faciale ou de numéros de sécurité sociale pour traiter une simple demande de portage.
Combinés à une recherche rapide d'informations personnelles accessibles au public (assez courantes pour les parties prenantes du Web3) et à des questions de récupération faciles à deviner, les imitateurs peuvent rapidement transférer le SMS 2FA d'un compte sur leur téléphone et commencer à l'utiliser à des fins malveillantes. Plus tôt cette année, de nombreux crypto Youtubers ont été victimes d'une attaque par échange de carte SIM où les pirates ont publié des vidéos d'escroquerie sur leur chaîne avec un texte demandant aux téléspectateurs d'envoyer de l'argent dans le portefeuille du pirate. En juin, le projet de jeton non fongible Solana (NFT) Duppies a vu son compte Twitter officiel piraté via un SIM-Swap avec des pirates tweetant des liens vers une fausse menthe furtive.
Je considère à ce sujet, Cointelegraph s'est entretenu avec l'expert en sécurité de CertiK, Jesse Leclere. Connu comme un leader dans le domaine de la sécurité de la blockchain, CertiK a aidé plus de 3,600 360 projets à sécuriser 66,000 milliards de dollars d'actifs numériques et a détecté plus de 2018 XNUMX vulnérabilités depuis XNUMX. Voici ce que Leclere avait à dire :
"SMS 2FA est mieux que rien, mais c'est la forme la plus vulnérable de 2FA actuellement utilisée. Son attrait vient de sa facilité d'utilisation : la plupart des gens sont sur leur téléphone ou l'ont à portée de main lorsqu'ils se connectent à des plateformes en ligne. Mais sa vulnérabilité aux échanges de cartes SIM ne peut être sous-estimée.
Leclerc a expliqué que les applications d'authentification dédiées, telles que Google Authenticator, Authy ou Duo, offrent presque toute la commodité du SMS 2FA tout en supprimant le risque d'échange de carte SIM. Lorsqu'on lui demande si les cartes virtuelles ou eSIM peuvent couvrir le risque d'attaques de phishing liées à l'échange de cartes SIM, pour Leclerc, la réponse est clairement non :
«Il faut garder à l'esprit que les attaques par échange de carte SIM reposent sur la fraude d'identité et l'ingénierie sociale. Si un mauvais acteur peut tromper un employé d'une entreprise de télécommunications en lui faisant croire qu'il est le propriétaire légitime d'un numéro attaché à une carte SIM physique, il peut également le faire pour une eSIM.
S'il est possible de dissuader de telles attaques en verrouillant la carte SIM sur son téléphone (les entreprises de télécommunications peuvent également déverrouiller les téléphones), Leclere souligne néanmoins l'étalon-or de l'utilisation de clés de sécurité physiques. "Ces clés se branchent sur le port USB de votre ordinateur, et certaines sont compatibles avec la communication en champ proche (NFC) pour une utilisation plus facile avec les appareils mobiles", explique Leclère. "Un attaquant aurait besoin non seulement de connaître votre mot de passe, mais aussi de prendre physiquement possession de cette clé pour accéder à votre compte."
Leclere a souligné qu'après avoir rendu obligatoire l'utilisation de clés de sécurité pour les employés en 2017, Google n'a connu aucune attaque de phishing réussie. "Cependant, ils sont si efficaces que si vous perdez la seule clé liée à votre compte, vous ne pourrez probablement pas y accéder à nouveau. Il est important de conserver plusieurs clés dans des endroits sûrs », a-t-il ajouté.
Enfin, Leclere a déclaré qu'en plus d'utiliser une application d'authentification ou une clé de sécurité, un bon gestionnaire de mots de passe permet de créer facilement des mots de passe forts sans les réutiliser sur plusieurs sites. "Un mot de passe fort et unique associé à un 2FA non SMS est la meilleure forme de sécurité de compte", a-t-il déclaré.
Source : https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
Message de navigation
