→ Pour rappel, les cybercriminels chinois de Salt Typhoon ont compromis depuis plusieurs mois au moins 9 opérateurs téléphoniques US, parmi lesquels AT&T, Verizon, Lumen et T-Mobile.
Ils ont potentiellement accès aux appels et SMS de millions de clients de ces opérateurs.
Et pour le moment, les autorités américaines n’ont toujours aucune idée de jusqu’où ils ont pénétré et de comment les expulser…
On ne sait pas encore si des opérateurs européens seraient concernés mais les autorités restent méfiantes.
→ Or la MFA (authentification multifacteur) avec SMS repose sur un SMS qu’on vous envoie avec un code.
Traditionnellement, la technique du SIM Swapping peut permettre d’intercepter ce code et de pirater vos comptes.
Le SIM Swapping consiste pour un fraudeur à obtenir le transfert de votre numéro de téléphone sur une carte SIM en sa possession, en se faisant passer pour vous auprès de votre opérateur téléphonique.
C’est pourquoi la MFA la plus sûre repose sur d’autres mécanismes comme les Yubikeys ou les App d’authentification par exemple.
→ Sauf que si on ajoute à cela la compromission des opérateurs téléphoniques, alors on peut sérieusement penser à mettre à la poubelle la MFA avec SMS.
D’autant plus pour les usages professionnels.
A cela, il faut ajouter que, contrairement aux messages échangés via des applications comme WhatsApp ou Signal, qui utilisent le chiffrement de bout en bout, les SMS circulent en clair sur les réseaux des opérateurs.
Cela signifie que les messages peuvent être lus par des tiers, y compris les opérateurs de téléphonie et potentiellement des hackers.
👉 Quelles sont vos meilleures recommandations s’agissant de la MFA ? Votre avis m’intéresse en commentaire.
Je vous partage cette Cybergraphie rappelant ce qu’est la MFA et ses failles. N’hésitez pas à la repartager ou à l’utiliser si vous la trouvez utile 🤗
—
PS : Si vous découvrez mon contenu avec ce post, je vous invite à me suivre ici sur LinkedIn et à vous abonner à ma newsletter RISKINTEL MEDIA en cliquant sous mon nom.
