Achats en ligne : petits conseils pour mieux vous protéger des hackers et autres voleurs d’identité | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Achats en ligne : petits conseils pour mieux vous protéger des hackers et autres voleurs d’identité
©PHILIPPE HUGUEN / AFP

Précautions à prendre

Achats en ligne : petits conseils pour mieux vous protéger des hackers et autres voleurs d’identité

Les processus d’authentification à 2 étapes -le plus souvent par SMS- sont de plus en plus souvent contournées par les criminels.

Loïc Guezo

Loïc Guezo

Loïc Guezo est expert en stratégie cybersécurité. Loïc Guézo est Secrétaire Général du CLUSIF (www.clusif.fr). Il est par ailleurs membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) et réserviste Police Nationale, RCM (Référent Cyber Menaces). Twitter: @lguezo Linkedin : https://www.linkedin.com/in/lguezo/ 

Voir la bio »

Atlantico : Quand nous nous connectons à un service en ligne, à quoi sert l’authentification dite « à double facteur » ?

Loïc Guezo : L'authentification à double facteur (A2F) est une évolution naturelle des systèmes d'authentification simples qui ont été au fil du temps contournés par les attaquants. On est donc passé d'une identification simple avec login et mot de passe à un système où on rajoute un élément d'authentification forte que l'on doit avoir sur soi. Historiquement, ça s’est matérialisé par des dispositifs qui ressemblaient à de petites calculettes sur lesquelles on devait lire un code unique qui changeait régulièrement et qui était synchronisé avec le service sur lequel vous vouliez vous identifiez. Ces systèmes d'authentification ont continué à progresser avec des systèmes basés sur des authentificateurs complètement logiciels. Par exemple, quand vous voulez vous connecter à votre banque en ligne, on va vous demander une authentification sur votre smartphone. 

La confirmation par SMS, vu comme gage de sécurité par beaucoup d’utilisateurs, est-elle suffisante ?

Les dispositifs d’authentification évoluent naturellement en fonction de la capacité des attaquants à contourner le dispositif. En Europe, on a décidé pour les sites d’achat de complètement supprimer l'authentification par sms qui a été jugée absolument pas suffisante en termes de sécurité par rapport aux enjeux financiers qui se trouvent derrière. Différents types d'attaque sont possibles. Vous pourriez avoir sur votre téléphone un logiciel espion qui va lui-même recevoir le SMS et envoyer le code d'authentification vers le pirate qui va pouvoir l’utiliser avant vous et détourner l'authentification sécurisée à son profit. Certains ont été beaucoup plus loin en vous faisant croire que vous étiez bien connectés au site de votre banque mais en fait ils agissent en double commande derrière. On a aussi vu des cas d’attaques visant des opérateurs télécoms de façon à détourner des flux de SMS. 

L’application Google Authenticator peut-elle être une bonne solution pour pallier ce risque ?

C'est typiquement ce qui est préconisé aujourd'hui. Cette application est synchronisée avec un back-office de sécurité. Quand vous avez besoin de vous connecter sur un service d’achat, choisissez une authentification via Google Authenticator. Vous allez devoir présenter un code qui ne peut être délivré que par l'application qui est installée sur votre téléphone. Le code est un code à 6 chiffres, celui-ci change toutes les 10 secondes, ce qui garantit un niveau de sécurité extrêmement élevé. C'est aujourd'hui le standard du marché. Ça a l'avantage d'être très ergonomique. Vous avez juste à ouvrir l'application et votre code s'affiche.

 



À Lire Aussi

Plus de trois milliards de logins et mots de passe Gmail et Hotmail ont été volés puis mis en ligne

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !