Pendant des années, on vous a expliqué qu’il est important d’utiliser des mots de passe compliqués pour que ceux-ci ne soient pas faciles à deviner par les hackers. Mais aujourd’hui, cela ne semble plus suffire, puisqu’il est aussi recommandé d’utiliser un système d’authentification en deux étapes.
Lorsque vous utilisez une authentification en deux étapes, avoir votre mot de passe ne suffit plus pour prendre le contrôle de votre compte sur un service en ligne. En effet, la connexion doit être validée par une seconde étape, comme la saisie d’un code envoyé par SMS, une clé physique de sécurité, ou encore une application d’authentification.
Alex Weinert, directeur de la sécurité d’identité chez Microsoft, a toujours encouragé les gens à utiliser une forme d’authentification en deux étapes. D’après lui, lorsque vous utilisez ces dispositifs de sécurité, vous réduisez considérablement les risques d’être piraté.
« L’utilisation de tout autre élément que le mot de passe augmente considérablement les coûts pour les attaquants, c’est pourquoi le taux de compromission des comptes utilisant n’importe quel type de MFA est inférieur à 0,1% de la population générale », écrit-il dans un billet de blog.
Cependant, certaines méthodes d’authentification sont moins fiables que d’autres
Dans un nouveau billet publié cette semaine, le directeur de Microsoft ajoute que si le fait d’utiliser une forme d’authentification en plusieurs étapes est déjà une bonne chose, il est préférable d’utiliser les méthodes qui dépendent du réseau téléphonique : donc, les codes envoyés par SMS ou par message vocal.
« Aujourd’hui, je veux faire ce que je peux pour vous convaincre qu’il est temps de vous éloigner des mécanismes d’authentification multifacteurs (MFA) SMS et vocaux. Ces mécanismes sont basés sur des réseaux téléphoniques commutés publiquement (PSTN), et je pense qu’ils sont les moins sûrs des méthodes MFA disponibles à ce jour », indique le responsable.
Alex Weinert cite les nombreux inconvénients des codes envoyés par SMS ou par message vocal. Et parmi ceux-ci, il y a le fait que les informations sont transmises en clair, ce qui fait qu’elles peuvent être interceptées.
« Lorsque les protocoles SMS et vocaux ont été développés, ils ont été conçus sans cryptage. D’un point de vue pratique, nous ne pouvons pas superposer le chiffrement à ces protocoles, car les utilisateurs seraient incapables de les lire », explique Weinert.
Mais ce n’est pas tout. Celui-ci évoque également les risques liés à l’ingénierie sociale. En substance, pour ce responsable de Microsoft, les employés des réseaux de télécommunication peuvent être vulnérables « au charme, à la coercition, à la corruption ou à l’extorsion ».
Utilisez une application d’authentification
Le directeur de Microsoft évoque également les problèmes de fiabilité des réseaux, qui font que les messages ne sont parfois pas transmis. Et cela peut empêcher un utilisateur d’accéder à ses comptes.
Pour toutes ces raisons, Alex Weinert estime que les codes par SMS ou par message vocal sont la méthode d’authentification qu’il faut éviter quand cela est possible. Celui-ci conseille d’utiliser, à la place de ces messages, les applications d’authentification. Et justement, Microsoft propose ce type d’app : Microsoft Authenticator.
« L’Authenticator utilise une communication chiffrée, permettant une communication bidirectionnelle sur l’état de l’authentification, et nous travaillons actuellement à ajouter encore plus de contexte et de contrôle à l’application pour aider les utilisateurs à se protéger », indique le responsable.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
HAHAHAHAHAHA! Belle pub pour utiliser leur produit.