©PHILIPPE HUGUEN / AFP
Précautions à prendre
Achats en ligne : petits conseils pour mieux vous protéger des hackers et autres voleurs d’identité
Les processus d’authentification à 2 étapes -le plus souvent par SMS- sont de plus en plus souvent contournées par les criminels.
Loïc Guézo
Fort de 30 ans d'expérience, Loïc Guézo conseille les grandes entreprises sur leurs stratégies de défense en matière de cybersécurité. Depuis 2023, Loïc est Vice-Président du CLUSIF (association de référence de la sécurité du numérique en France, forte de 1200 membres) et par ailleurs Lieutenant-Colonel (RCDS) de la Gendarmerie Nationale, rattaché au commandement de la gendarmerie dans le cyberespace (COMCYBERGEND).
Atlantico : Quand nous nous connectons à un service en ligne, à quoi sert l’authentification dite « à double facteur » ?
Loïc Guezo : L'authentification à double facteur (A2F) est une évolution naturelle des systèmes d'authentification simples qui ont été au fil du temps contournés par les attaquants. On est donc passé d'une identification simple avec login et mot de passe à un système où on rajoute un élément d'authentification forte que l'on doit avoir sur soi. Historiquement, ça s’est matérialisé par des dispositifs qui ressemblaient à de petites calculettes sur lesquelles on devait lire un code unique qui changeait régulièrement et qui était synchronisé avec le service sur lequel vous vouliez vous identifiez. Ces systèmes d'authentification ont continué à progresser avec des systèmes basés sur des authentificateurs complètement logiciels. Par exemple, quand vous voulez vous connecter à votre banque en ligne, on va vous demander une authentification sur votre smartphone.
La confirmation par SMS, vu comme gage de sécurité par beaucoup d’utilisateurs, est-elle suffisante ?
Les dispositifs d’authentification évoluent naturellement en fonction de la capacité des attaquants à contourner le dispositif. En Europe, on a décidé pour les sites d’achat de complètement supprimer l'authentification par sms qui a été jugée absolument pas suffisante en termes de sécurité par rapport aux enjeux financiers qui se trouvent derrière. Différents types d'attaque sont possibles. Vous pourriez avoir sur votre téléphone un logiciel espion qui va lui-même recevoir le SMS et envoyer le code d'authentification vers le pirate qui va pouvoir l’utiliser avant vous et détourner l'authentification sécurisée à son profit. Certains ont été beaucoup plus loin en vous faisant croire que vous étiez bien connectés au site de votre banque mais en fait ils agissent en double commande derrière. On a aussi vu des cas d’attaques visant des opérateurs télécoms de façon à détourner des flux de SMS.
L’application Google Authenticator peut-elle être une bonne solution pour pallier ce risque ?
C'est typiquement ce qui est préconisé aujourd'hui. Cette application est synchronisée avec un back-office de sécurité. Quand vous avez besoin de vous connecter sur un service d’achat, choisissez une authentification via Google Authenticator. Vous allez devoir présenter un code qui ne peut être délivré que par l'application qui est installée sur votre téléphone. Le code est un code à 6 chiffres, celui-ci change toutes les 10 secondes, ce qui garantit un niveau de sécurité extrêmement élevé. C'est aujourd'hui le standard du marché. Ça a l'avantage d'être très ergonomique. Vous avez juste à ouvrir l'application et votre code s'affiche.
À Lire Aussi
Plus de trois milliards de logins et mots de passe Gmail et Hotmail ont été volés puis mis en ligne
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !