Double authentification et piratage

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
falonso
Messages : 69
Inscription : 05 sept. 2011 13:27

Double authentification et piratage

par falonso »

Bonjour,

A l'heure où la double authentification devient presque une norme, et avec les multiples possibilités (SMS, Authenticator, ...), j'avais une petite question concernant les SMS :

- A quel point une personne X connaissant simplement un numéro de téléphone peut-elle réussir à prendre le contrôle d'un compte (mail ...) ? Pour exemple, Google demande, pour retrouver l'adresse email, de rentrer le numéro de téléphone. Est-il si difficile de parvenir à intercepter un SMS de 2FA ?

Internet parait fourmiller d'exemple de personnes se faisant également avoir au niveau de leurs comptes bancaires. Les solutions type Yubikey sont-elles alors nécessaires dans les prochaines années pour nos mails / banque ?

Bonne journée
Malekal_morte
Messages : 110342
Inscription : 10 sept. 2005 13:57

Re: Double authentification

par Malekal_morte »

Salut,

A lire : La double authentification ou authentification à deux facteurs (2FA) : comment ça marche

~~

Pour l'interception de SMS, le risque c'est surtout un malware au niveau du téléphone.
Eventuellement aussi si l'opérateur a un service de lecture en ligne qui peut-être piraté.

Pour les comptes bancaires, ce sont surtout les Les trojan banker.

Enfin pour la double authentificaiton attention aux attaques "SIM port hack ou Sim Swap"

J'avais gardé le premier lien sous la main car je comptais faire un article.
Vu la question, j'essaye de le faire today =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
falonso
Messages : 69
Inscription : 05 sept. 2011 13:27

Re: Double authentification et piratage

par falonso »

Merci Malekal pour ce premier retour.

Donc tu ne conseilles clairement pas le SMS ? On a récemment vu qu'un simple appel sur WhatsApp permettait de pirater le téléphone (via une faille de l'application).

Question version parano : Un appel entrant / sortant simple peut-il également permettre de prendre le contrôle de la ligne et/ou du téléphone et donc d'exploiter les données, dont les SMS reçus ?
Malekal_morte
Messages : 110342
Inscription : 10 sept. 2005 13:57

Re: Double authentification et piratage

par Malekal_morte »

Je n'ai jamais dit cela d'ailleurs je les utilise.
Tu voulais savoir si la double authentification pouvait être piratée, je t'ai donné des liens qui expliquent que oui.
Moyennant une attaque au fournisseur d'accès pour récupérer l'accès à la carte SIM.
Je pense que les fournisseurs sont sensibilisés là dessus, pour ça en autre qu'ils demandant la date de naissance etc, même si ce sont des informations que l'on peut récupérer.
Juste qu'à chaque fois tu ajoutes un degré de complexité.

Les articles sont en ligne : SIM Swap : piratage de compte internet.
Il faut éviter l'authentification par SMS, donc plutôt une application sécurisée sur mobile comme Google Authenticator ou une clé de sécurité.

J'ai testé la Yubikey, c'est pas mal mais il faut la trimballer : Yubikey sécuriser compte en ligne.

Mais tu n'as pas 36 solutions non plus... car il faut aussi que les sites internet supportent la solution.
  • Soit un coffre fort sur ton PC. Théoriquement, si ton ordinateur se fait pirater ils n'y auront pas accès contrairement au mot de passe dans le navigateur internet. Après reste le cas du copier/coller durant la phase d'identification.
  • Soit une clé de protection Yubikey.
  • Soit la méthode par SMS, Google Authenticator , etc
.

Par exemple Amazon et Paypal ne gère que l'authentification par SMS....
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110342
Inscription : 10 sept. 2005 13:57

Re: Double authentification et piratage

par Malekal_morte »

J'ai édité la réponse précédente car les articles sont maintenant en ligne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 10372
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Double authentification et piratage

par Parisien_entraide »

Concernant Ubikey

Source : https://www.yubico.com/2019/10/yubico-l ... available/

Copier coller :

"L’application Yubico Login for Windows permet d’ajouter un second facteur d’authentification pour la connexion à un compte Windows local.

Les utilisateurs d’ordinateurs Windows peuvent désormais utiliser les clés YubiKey pour protéger l’authentification à leur compte par un second facteur. Pour cela, il suffit d’installer et configurer l’application Yubico Login for Windows que le fabricant vient de publier.

Ce logiciel permet d’enrôler la clé comme second facteur d’authentification, en créant un secret cryptographique qui sera partagé entre l’accessoire et le système. À partir de là, toute connexion à Windows nécessitera non seulement de renseigner le mot de passe du compte, mais aussi d’insérer la clé dans l’interface USB.

Attention : cette application ne fonctionne que pour des comptes Windows locaux. Il ne prend pas en charge l’authentification par un compte Microsoft. Néanmoins, il est possible de faire cohabiter sur une même machine Windows un compte Microsoft et un compte local. Pour les comptes gérés de manière centralisée par Active Directory, il était déjà possible d’utiliser la fonction SmartCart de YubiKey.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »