J’espère que personne ne recevra mon SMS…

La sécurité des SMS n’est pas à la hauteur et ne délivre pas une vraie authentification forte comme beaucoup l’affirmaient. Les attaques contre les SMS ne sont plus de la fiction, et sont de plus en plus répandues.

Récemment, le Bureau Américain National Institute of Standards & Technology, a déclaré ce que les professionnels de la sécurité et les hackers savent déjà depuis longtemps : le SMS n’est pas sécurisé et ne correspond plus aux standards nécessaires à l’authentification forte. Les messages SMS ne sont pas protégés des personnes mal intentionnées qui pourraient les intercepter et, de plus, il n’y a aucune certitude que ces messages soient délivrés au bon destinataire. Tout le monde savait que ce jour arriverait, alors que ne nombreuses applications utilisent le SMS comme mécanisme de sécurité… la question est “Pourquoi ?”.

C’est assez simple : tandis que les gens commençaient à perdre confiance dans les services protégés par des mots de passe, et afin de donner aux utilisateurs un « sentiment de sécurité » (en d’autres termes : « nous sommes sécurisés, continuez à utiliser nos services, s’il vous plait ! »), les messages SMS étaient la solution plus abordable, répandue et facile à utiliser. Dans le meilleur des cas, les messages SMS sont utilisés pour accéder aux sites présentant peu de risques ; dans le pire des cas, ils sont utilisés pour accéder à des propriétés intellectuelles convoitées, à des réseaux « sécurisés », et même à des sites bancaires et autres institutions financières. Sans réelles alternatives, les inconditionnels du SMS parlent d’une authentification « out of band » ou « step up », mais la réalité est que la sécurité des SMS n’est pas à la hauteur et ne délivre pas une vraie authentification forte comme beaucoup l’affirmaient. Les attaques contre les SMS ne sont plus de la fiction, et sont de plus en plus répandues.

Quel est le problème avec les SMS depuis le début et qu’est-ce qui a changé ? Le SMS a toujours été un lien logique entre un numéro de téléphone d’utilisateur et l’appareil qu’il tient entre ses mains. Avant l’arrivée des smartphones et des applis, le point de compromis était le compte de l’utilisateur. Il suffisait de changer l’appareil enregistré sur le compte et le tour était joué ! Vous receviez alors les messages sans même pirater le compte utilisateur attaqué. Vous faisiez complètement confiance à votre opérateur pour assurer votre sécurité. Dans certains cas, les fournisseurs ont amélioré la sécurité liée à ces changements de téléphone, ce qui a peut-être retardé l’inévitable…

Beaucoup de gens pensent naïvement que la seule façon pour que quelqu’un voit leurs messages serait que cette personne soit en possession de leur téléphone. Ils ont également un faux sentiment de sécurité qui leur fait penser que s’ils utilisent un mot de passe ou se servent de l’authentification par l’empreinte digitale, cela suffit à protéger l’accès à leur téléphone. Ceux qui pensent ainsi ne peuvent pas davantage se tromper ! On peut pirater le téléphone directement. Un utilisateur télécharge toutes sortes d’applis, et accepte souvent les conditions d’utilisation sans même les lire. Télécharger des applis qui ne sont pas de confiance, utiliser des jailbroken ou bien encore des téléphones « rooted », ou tout simplement en agissant sans connaitre les risques auxquels nous sommes confrontés au quotidien est dangereux.

Il faut avoir bien conscience du nombre considérable d’applis disponibles sur le marché. Vous voulez vraiment savoir avec qui vos enfants discutent en surveillant le contenu de leurs communications ? Vous souhaitez aider vos parents en contrôlant les messages qu’ils doivent envoyer aux différents services dont ils ont besoin ?  Il suffit simplement que vous installiez un service de SMS caché sur leur téléphone et ainsi pouvoir contrôler les messages qu’ils reçoivent et ceux qu’ils envoient. Si ces applis peuvent faire ces choses aussi simplement, pourquoi un hacker ne pourrait-il pas faire la même chose mais à des fins nuisibles, cette fois-ci ? Le repackaging d’applis, l’injection de code, l’écran fantôme, le clavier camouflé… êtes-vous sur le point de télécharger la dernière appli virale ? Vous êtes peut-être seulement en train de recevoir des messages commerciaux qui ne vous intéressent pas, et en réalité ils suffisent à voler vos identifiants et mots de passe.

Alors que fait-on ? Il existe des alternatives, vos applis peuvent être protégées par des protections en temps réel, des transactions réellement sécurisées et des technologies de sécurisation des appareils, permettant ainsi à votre mobile d’être à nouveau utilisé comme un outil d’authentification forte efficace.

Malheureusement, depuis des années nous entendons que « les mots de passe sont morts ! ». Encore aujourd’hui, la plupart d’entre nous passons nos journées à taper des mots de passe. L’authentification basée sur la connaissance est tout autant vulnérable. Et maintenant que nous entendons « l’authentification par SMS est morte », nous devons aller là où l’utilisateur et ses devices se trouvent et véritablement les protéger ! Nous devons arrêter de faire confiance si facilement aux mesures de sécurité SMS au risque d’être piraté encore et encore…