L'authentification à deux facteurs possède aussi ses faiblesses, pire qu'un mot de passe ?

Dans un monde où tout se connecte, utiliser ces moyens pour sécuriser son compte peut sembler une bonne idée. Sauf qu'il ne faut pas utiliser l'un des principes de base de la cryptographie : ne pas se baser sur la non-connaissance d'un procédé par l'adversaire. Autrement dit, faire une confiance aveugle au transport de message par réseau cellulaire pour transmettre les adresses de réinitialisation des mots de passe n'est pas suffisant.

Une vidéo postée par Positive Technologie montre jusqu'où un tel hack peut mener en utilisant l'un des comptes possédant le plus de valeur : un portefeuille Bitcoin. La racine du problème se trouve en fait dans le compte Google (hé oui, ça n'est pas parce que l'on est gros que l'on est parfait !), au travers duquel le hack prend contrôle de la boite mail. Certes, il est nécessaire d'accéder aux données des réseaux mobiles, mais ce type d'intrusion s'est déjà produit (le réseau SS7 étant critiqué pour sa vulnérabilité, les bruits courent que cela arrange même la NSA), si bien qu'il serait absurde de fermer les yeux totalement sur ses vulnérabilités.

Pour pallier ce problème, il faudrait diversifier les questions annexes, qui se résument ici au nom/prénom et adresse mail de la personne (en sus du numéro bien sûr) ; informations qui sont de nos jours aisément trouvables sur les réseaux sociaux. Inutile de tomber dans la paranoïa, mais il est néanmoins crucial que les géants du secteur se penchent sur ce phénomène.

Ça vous hérisse les poils de derrière ?