Google cherche à se débarrasser de l’authentification par SMS

Cela fait un petit moment maintenant que les SMS ne sont plus considérés comme une méthode fiable en termes de sécurité pour pratiquer la double authentification. La principale raison étant que le protocole SS7 des opérateurs téléphoniques contient des failles de sécurité. Google planche donc sur un système de double authentification, qui n’utilisera plus le SMS.

Attention : faux SMS alerte attentat

Le protocole SS7 utilisé par les différents opérateurs de télécommunication pour communiquer entre eux a démontré par le passé, qu’il était suffisamment vulnérable pour permettre à des hackers de s’intercaler en intermédiaire et donc de contourner l’authentification à double facteur. Il suffit par exemple de se déterminer « opérateur » dans n’importe quel pays du monde pour se retrouver au cœur du dispositif. Quelques milliers de dollars permettent de se faire passer pour un nouvel opérateur sur le marché, il devient donc urgent qu’une alternative sécurisée se démocratise car de nouvelles formes de délinquances émergeront de cette vulnérabilité.

Google ne fait plus confiance à la double authentification par SMS

Concrètement au moment de réaliser un paiement ou une connexion sur un service ayant recours à cette double authentification qui apparait très sûr à l’utilisateur, les hackers « opérateurs » recevaient le SMS, réalisaient une redirection vers un terminal à l’étranger pour mener leurs méfaits. L’utilisateur ne pouvait pas savoir qu’il était visé avant d’être une victime.

Google suggère une double authentification ayant recours à l’envoi d’une notification sur le téléphone de l’utilisateur. Vous direz, cela change quoi ? En réalité, cela passe par internet et non par le réseau téléphonique, ce qui permet d’appliquer de meilleures sécurités. De plus, un utilisateur pourra recevoir un rapport complet de la tentative de connexion, avec la date, l’heure, le terminal, la localisation, etc. De précieux indices qui permettront de plus facilement remonter les réseaux d’escrocs pour les autorités.

Le nouveau dispositif d’authentification à double facteur est considérablement plus sûr que le SMS et nous devrions le voir débarquer sur Android dans quelques semaines. Google n’a pas oublié les utilisateurs d’iOS et propose à ces derniers la fonctionnalité au travers de la version iOS de Google Search.


Nos dernières vidéos

Répondre