Quelques explications ?

Nous savons qu’un numéro de téléphone est unique et est attribué à une seule personne. Jusque là, tout va bien, on se dit que c’est une méthode efficace pour faire transiter des codes de vérifications pour se connecter à différent compte. Cependant, des petits malins ont réussi à trouver la faille pour récupérer sans difficulté une carte SIM avec votre numéro de téléphone codé dessus. Un rappel du fonctionnement de l’activation d’une ligne: une fois la nouvelle puce active, l’ancienne est désactivée de tous les relais téléphonique. Du coup, plus possible d’utiliser les données mobiles, de passer d’appels ou d’envoyer de SMS.

Comment se prémunir ?

Il est complétement stupide de dire que le 2FA est donc maintenant inutile. Loin de là, il a toujours montré sa force de frappe et reste un outil à activer impérativement selon la disponibilité. Bien entendu, au vu de cette manipulation, choisir la validation par téléphone est donc à éviter pour le moment. Malheureusement, la majorité des authentifications à double facteur utilise les téléphones comme méthode de certification de connexion. Comble de la situation, on se retrouve donc à jouer à la roulette russe sur une option de sécurité qui est censée nous mettre en confiance. Il n’y a pas tellement de proposition pour se prémunir en réalité, autre que mettre de côté le 2FA par téléphone. Il faut donc se rabattre d’autres options disponibles sur la plateforme de votre choix.

Quelques conseils

Cette découverte, encore presque inconnue, risque de faire tomber beaucoup de 2FA, mais peu démocratisée chez nous à cette heure. Cependant comme vous le savez, le 100% sécurisé n’existe pas et nous devons rester vigilent. A partir du moment où, sans raison apparente, vous n’avez plus de réseau sur votre téléphone malgré un passage en mode avion ou redémarrage de l’appareil, l’attaque est actuellement en cours. Le meilleur moyen pour le moment reste de migrer temporairement de système de double authentification, on peut donc se pencher sur Google Authenticator ou Authy si on souhaite garder la méthode par téléphone ou alors utiliser une clé U2F (ou clé USB de sécurité.