La double authentification par SMS critiquée par les autorités américaines





L'agence américaine chargée des normes technologiques déconseille d'utiliser le SMS lors d'une authentification en deux étapes. Cette méthode est jugée obsolète et peu sécurisée au regard des outils de reconnaissance biométriques.

Méthode obsolète, pourquoi ?

Valider un paiement en ligne avec un SMS n'est pas une parade infaillible contre les piratages. Tel est l'avis émis par la National Institute of Standards and Technology (NIST), une agence en charge des normes technologiques rattachée au département du Commerce des États-Unis. Dans un rapport publié la semaine dernière, elle estime que l'usage du SMS dans une authentification en deux étapes est une méthode peu sécurisée. La NIST a tenu à clarifier les conclusions de son rapport après que les médias aient évoqué une interdiction pure et simple de l'authentification par SMS aux États-Unis. «Nous avons dit que cette méthode est devenue obsolète et non pas à proscrire», insiste Paul Grassi, conseiller en technologie à la NIST, dans un billet de blog paru vendredi. De nombreux réseaux sociaux, comme Facebook, Twitter et Snapchat, ont commencé à utiliser cette authentification en deux étapes. Cette méthode est souvent appliquée lorsque vous vous connectez à un site, un réseau social ou une application pour la première fois à partir d'un nouvel appareil. Le code envoyé par SMS vient alors en complément du mot de passe. Cette double sécurité, censée nous protéger du piratage. Elle est de plus souvent imposée au moment de régler un achat sur Internet. Pour valider la transaction et vous authentifier comme le propriétaire de la carte bancaire, votre banque vous envoie par SMS un code éphémère à usage unique.



Les méthodes biométriques préconisées

La possibilité d'intercepter ou de rediriger ces SMS rend ce système faillible, selon la NIST. Un pirate informatique peut installer un logiciel malveillant lui permettant de prendre le contrôle ou de surveiller l'activité d'un smartphone. Le risque est plus important si ce SMS est envoyé vers une ligne VoIP (Internet), de type Skype ou Google Voice, et non vers un numéro du réseau mobile. Intercepter ces codes d'authentification revient, pour un pirate, à obtenir le code secret d'une carte bancaire. En France, les victimes de ce genre de fraude sont rarement dédommagées, bien que les banques y soient obligées, comme le rappelle le site spécialisé dans le droit Deontofi.



«Au regard de ces risques, nous préconisons d'abandonner le SMS comme moyen d'authentification, suggère la NIST. Les développeurs sont invités à examiner des méthodes d'authentification alternatives.» Elle recommande l'usage d'applications dédiées, à l'image d'Authenticator ,créée par Google. Pour valider une authentification en deux étapes, l'utilisateur soit, en plus du mot de passe habituel, saisir le code éphémère généré par l'application. En France, certains établissements financiers ont intégré la validation de paiement en ligne à leur application, un moyen d'instaurer cette double validation, sans avoir recours à un SMS.



La NIST préconise par ailleurs le développement de techniques d'authentification biométriques, comme la reconnaissance de l'iris, du visage ou des empreintes digitales. En mars, le site de e-commerce Amazon a breveté un système permettant de finaliser une transaction en se prenant en photo.



Sources

http://www.lefigaro.fr/secteur/high-tech/2016/08/01/32001-20160801ARTFIG00155-la-double-authentification-par-sms-critiquee-par-les-autorites-americaines.php#fig-comments