Microsoft invite ses utilisateurs à ne plus utiliser l’authentification multi-facteurs par smartphone

Spread the love
  • Yum

Microsoft invite ses utilisateurs à ne plus utiliser l'authentification multi-facteurs par smartphone

Microsoft exhorte les utilisateurs à abandonner les solutions d’authentification multifactorielle (AMF) basées sur le smartphone, comme les codes uniques envoyés par SMS et les appels vocaux, et à les remplacer par des technologies d’authentification multifacteur plus récentes, comme les authentificateurs basés sur des applications et les clés de sécurité.

L’avertissement provient de Alex Weinert, directeur de la sécurité des identités chez Microsoft. Depuis un an, M. Weinert défend les intérêts de Microsoft, en exhortant les utilisateurs à adopter et à activer l’authentification multifacteur pour leurs comptes en ligne.

Citant des statistiques internes de Microsoft, M. Weinert a déclaré sur un blog l’année dernière que les utilisateurs qui ont activé l’authentification multi-facteur ont fini par bloquer environ 99,9% des attaques automatisées contre leurs comptes Microsoft. Mais dans un billet publié hier sur son blog, M. Weinert affirme que si les utilisateurs doivent choisir entre plusieurs solutions d’AMF, ils devraient se tenir à l’écart de l’AMF par smartphone.

Le responsable de Microsoft cite plusieurs problèmes de sécurité connus, non pas avec l’AMF, mais avec l’état des réseaux téléphoniques aujourd’hui. Weinert affirme que les SMS et les appels vocaux sont transmis en clair et peuvent être facilement interceptés par des attaquants, en utilisant des techniques et des outils comme les outils logiciels radios, les cellules FEMTO ou les services d’interception SS7. Les codes à usage unique basés sur des SMS sont également susceptibles d’être hameçonnés via des outils de phishing open source facilement accessibles comme Modlishka, CredSniper ou Evilginx.

De plus, les employés des réseaux téléphoniques peuvent être amenés à transférer des numéros de téléphone sur la carte SIM d’un pirate – dans le cadre d’attaques connues sous le nom de SIM swapping -, permettant aux attaquants de recevoir des codes uniques d’AMF au nom de leurs victimes.

En outre, les réseaux téléphoniques sont également exposés aux changements de réglementation, aux temps d’arrêt et aux problèmes de performance, qui ont tous un impact sur la disponibilité du mécanisme d’AMF, ce qui, à son tour, empêche les utilisateurs de s’authentifier sur leur compte dans les moments d’urgence.

publicité

Les SMS et les appels vocaux sont la méthode d’AMF la moins sûre aujourd’hui

Tous ces éléments font des SMS et de l’AMF par appel “la moins sûre des méthodes d’AMF disponibles aujourd’hui”, selon M. Weinert.

Comme l’adoption de l’AMF augmente globalement, avec plus d’utilisateurs adoptant l’AMF pour leurs comptes, les attaquants seront également plus intéressés à briser les méthodes d’AMF, les SMS et l’AMF vocale devenant naturellement leur cible principale en raison de son adoption à grande échelle.

Weinert affirme que les utilisateurs devraient activer un mécanisme d’AMF plus fort pour leurs comptes, s’il est disponible, en recommandant l’application Authenticator de Microsoft comme un bon point de départ.

Mais si les utilisateurs veulent le meilleur de ce qui existe dans ce champs technologique, ils devraient opter pour des clés de sécurité matérielles, que Weinert a classé comme la meilleure solution d’AMF dans un billet de blog qu’il a publié l’année dernière.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: