Quand les gens me demandent des conseils de sécurité, je leur donne les bases. L’un est un mot de passe fort et long avec des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. (Non, « Passw0rd! » N’est pas assez bon.) Chaque mot de passe doit également être unique pour chaque compte (nous aimons un bon gestionnaire de mots de passe!). Et vous utilisez toujours l’authentification à deux facteurs, ou 2FA. (Ne soyez pas comme moi, qui n’avait pas de 2FA sur son compte bancaire jusqu’à ce qu’un hacker en a câblé 13 000 $.) Mais le type de 2FA que vous utilisez est également de plus en plus important.

Le 2FA basé sur du texte, où un texte avec un code à six chiffres est envoyé sur votre téléphone pour vérifier votre identité, est mieux connu et mieux compris car il utilise la technologie que la plupart d’entre nous utilisent de toute façon tout le temps. Mais c’est une technologie qui n’était pas censée servir de vérificateur d’identité, et c’est une option de moins en moins sûre car les pirates continuent de trouver des moyens de l’exploiter.

C’est pourquoi je recommande d’utiliser une application d’authentification, comme Google Authenticator, à la place. Ne laissez pas le nom vous intimider: il y a quelques étapes supplémentaires impliquées, mais l’effort en vaut la peine.

SIMjacking: pourquoi votre numéro de téléphone n’est pas assez bon pour vérifier votre identité

Au moment où Mykal Burns a reçu le texte de sécurité de T-Mobile l’informant que sa carte SIM avait été remplacée par un autre téléphone, il était déjà trop tard. Dans les 20 minutes qu’il a fallu à Burns pour remettre la carte SIM sur son téléphone, son compte Instagram avait disparu. Avec l’accès à la carte SIM de Burns, le pirate a simplement demandé à Instagram d’envoyer à Burns un texte de récupération de mot de passe afin de prendre en charge le compte de Burns et de le verrouiller. Tout ce que Burns pouvait faire était de regarder le hacker détruire cette partie de sa vie en ligne.

« Il avait été effacé des quelque 1 200 photos que j’avais partagées depuis la création du compte en 2012 », a déclaré Burns, un producteur de télévision basé à Los Angeles, à Recode.

SIMjacking, ou SIM swapping, était célèbre pour reprendre Le propre compte Twitter du co-fondateur et PDG de Twitter Jack Dorsey en 2019. Mais comme le montre l’histoire de Burns, il n’est pas nécessaire d’être un milliardaire célèbre pour être une cible. Si un pirate informatique en sait assez sur vous pour convaincre votre opérateur de téléphonie mobile qu’il est bien vous, un représentant du service client sans méfiance peut lui transférer votre carte SIM. Il y a aussi été des cas des employés des opérateurs de téléphonie mobile acceptant des pots-de-vin pour changer de carte SIM, auquel cas un pirate informatique n’aurait pas à en savoir grand-chose sur vous.

Mettre un code PIN sur votre carte SIM peut empêcher cela, mais ce n’est pas infaillible. Et comme Vice rapporté en mars, des pirates ont découvert d’autres exploits SMS qui ne nécessitent même pas d’accéder à votre carte SIM.

«Le SMS, en tant que technologie, existe depuis longtemps», a déclaré à Recode Marc Rogers, directeur exécutif de la cybersécurité chez Okta, une société de technologie d’authentification d’identité. «Il a été conçu pour être un moyen bon marché d’envoyer des messages. Il n’a pas été conçu pour être sécurisé. Et nous avons construit un tas de services de sécurité en plus. … Il existe désormais plus de moyens de compromettre un service SMS qu’ils ne peuvent espérer en résoudre. »

Fondamentalement, si vous utilisez des SMS ou votre numéro de téléphone pour vérifier votre identité, il est temps d’envisager autre chose.

Les applications d’authentification – qui sont généralement gratuites – nécessitent quelques étapes de plus pour configurer que l’authentification basée sur du texte. Certaines personnes peuvent trouver que – choisir et télécharger une autre application, scanner des codes QR, accepter des jetons – est trop intimidant ou ne vaut tout simplement pas l’effort supplémentaire. Je suis ici pour vous dire que ce n’est pas intimidant et que cela en vaut la peine.

«C’est tout notre objectif de vraiment promouvoir ces applications d’authentification», a déclaré à Recode Akhil Talwar, directeur de la gestion des produits pour LastPass, qui crée un gestionnaire de mots de passe et une application d’authentification. «Ils sont vraiment faciles à utiliser, ils sont très sécurisés et ils sont également pratiques. Vous ne recevez qu’une notification push dans certains cas. »

Comment choisir et utiliser une application d’authentification

Les applications Authenticator fonctionnent de la même manière que le 2FA basé sur du texte, mais au lieu de vous envoyer un code par texte, le code apparaît dans l’application. Le code change également toutes les 30 secondes environ comme mesure de protection supplémentaire – il est pratiquement impossible pour un pirate de deviner le bon code lorsqu’il change si fréquemment. Un hacker devrait être ridiculement chanceux (tout est possible, je suppose) ou posséder votre appareil physique pour accéder au code.

Plusieurs des sites avoir recommandations pour de bonnes applications d’authentification et leurs fonctionnalités respectives, ce qui devrait vous aider à déterminer celle qui vous convient le mieux. Google Authenticator est l’un des plus populaires et il vient de Google, vous pouvez donc être sûr qu’il existera pendant longtemps et que l’entreprise sait ce qu’elle fait pour sécuriser l’application. Mais c’est aussi l’une des applications d’authentification les plus basiques du marché. Si vous recherchez quelques fonctionnalités supplémentaires, Authy est fortement recommandé par la plupart, possède une interface agréable et vous permet de rechercher dans l’application un compte spécifique (très utile si vous avez beaucoup de comptes à parcourir), et est plus facile de passer à un nouvel appareil que Google Authenticator. Les applications d’authentification LastPass et 1Password peuvent être liées aux gestionnaires de mots de passe de ces entreprises. Et l’authentificateur de Microsoft – qui, comme Google, bénéficie du soutien d’une entreprise massive et de longue date – est également un bon choix.

«La réputation et la stabilité de l’entreprise qui l’a créée, les examens de sécurité indépendants effectués sur celle-ci et la possibilité de sauvegarder et de restaurer l’application en cas de perte ou de vol d’un téléphone sont trois éléments clés à prendre en compte lors du choix d’une application d’authentification. », A déclaré à Recode Mathew Newfield, responsable de la sécurité et de l’infrastructure chez Unisys.

Certains authentificateurs ont une fonction push où vous confirmez simplement que vous essayez de vous connecter à un site plutôt que de vous souvenir et de saisir un code à six chiffres. Mais toutes les applications d’authentification ne le font pas, et tous les sites Web et applications ne prennent pas en charge cette fonctionnalité – du moins pas encore. Certaines applications vous offrent la possibilité d’avoir une sauvegarde dans le cloud ou d’utiliser l’application sur plusieurs appareils, ce que vous pourriez être heureux d’avoir si votre téléphone (et, par conséquent, l’application d’authentification dessus) se brise ou est perdu. Certaines applications ont une fonction de recherche afin que vous puissiez trouver facilement l’application à laquelle vous essayez de vous connecter, ce qui est très utile si vous avez une longue liste de connexions.

«La seule règle primordiale est que toute application d’authentification vaut mieux que rien», a déclaré Rogers, d’Okta.

Une fois que vous avez choisi une application d’authentification et que vous l’avez téléchargée sur votre appareil, il est temps d’y ajouter vos comptes.

En l’honneur de notre ami Burns, utilisons l’application Instagram comme exemple de connexion de votre application d’authentification à un compte:

Aller aux paramètres > Sécurité > Authentification à deux facteurs > Application d’authentification

À partir de là, Instagram vous demandera d’ouvrir votre application d’authentification et d’y ajouter automatiquement votre compte Instagram. Vous verrez alors un code à 6 chiffres sur l’application. Entrez ce code sur Instagram et vous êtes prêt.

Mais tu n’as pas fini. Instagram vous montrera alors un ensemble de codes de sauvegarde. Notez tout ou partie de ceux-ci et conservez-les dans un endroit sûr (pas sur votre téléphone) – vous pourriez en avoir besoin pour restaurer l’accès à l’application ou au site Web si vous perdez l’accès à votre téléphone et que votre application d’authentification n’a pas la sienne système de sauvegarde.

Les sites Web sont un peu différents à mettre en place. En l’honneur de notre autre ami SIMjacked, Jack Dorsey, utilisons le site Web de Twitter comme exemple.

Allez dans Paramètres et confidentialité > Sécurité et accès au compte > Sécurité > Authentification à deux facteurs > Application d’authentification.

À partir de là, vous serez invité à scanner un code QR avec l’appareil photo de votre téléphone, ce qui ouvrira votre application d’authentification et y ajoutera votre compte Twitter. Si vous ne pouvez pas scanner un code QR ou si l’application ne s’ouvre pas correctement, vous pouvez également générer un code et le saisir manuellement à la place.

De retour sur le site de Twitter, cliquez sur «Suivant» et entrez le code à six chiffres sur votre application. Encore une fois, n’oubliez pas de sauvegarder le code de sauvegarde de Twitter dans un endroit sûr.

Maintenant que vous êtes configuré, lorsque vous vous connectez à Instagram ou Twitter, vous serez invité à entrer un code à partir de votre application d’authentification. Ouvrez l’application, obtenez le code du compte auquel vous essayez de vous connecter et saisissez-le sur le site ou l’application. Vous pouvez choisir de le faire chaque fois que vous vous connectez à un site, ou vous pouvez choisir de ne le faire qu’une seule fois si vous utilisez un appareil de confiance. Et c’est tout.

Deux choses très importantes et finales à retenir

Une fois que vous avez installé l’application d’authentification sur un compte, assurez-vous d’avoir désactivé la 2FA basée sur du texte et supprimé votre numéro de téléphone du compte (malheureusement, certaines applications et sites Web ne vous permettent pas de le faire). Et n’utilisez pas votre numéro de téléphone comme option de sauvegarde de récupération de compte. Après tout, la raison pour laquelle vous faites cela est que les numéros de téléphone sont de piètres vérificateurs d’identité.

Enfin, si vous recevez un nouveau téléphone, assurez-vous de transférer votre application d’authentification de votre ancien appareil vers le nouveau. Si votre application d’authentification nécessite que vous ayez les deux appareils en votre possession pour ce faire, assurez-vous de planifier à l’avance, sinon vous devrez vous fier à tous ces codes de sauvegarde de compte pour restaurer manuellement l’accès à vos comptes. Pas bon. Pas drôle. Mais toujours mieux que d’être piraté.

Encore une fois, cela va être un peu plus de travail que de compter sur la 2FA basée sur les SMS, mais pensez à ce que vous risquez de perdre si vos comptes sont piratés. Vous ne réaliserez peut-être pas à quel point certains de ces comptes – et les éléments qu’ils contiennent – sont précieux jusqu’à ce que vous les perdiez. Burns utilise désormais une application d’authentification dans la mesure du possible. Il a pu récupérer son compte Instagram au bout de deux jours, grâce à une connexion qu’il avait sur Facebook. Mais il n’a pas récupéré les 1200 photos qui étaient sur son compte – y compris celles de sa chienne bien-aimée, Bonnie, décédée l’année dernière. Son compte Instagram est désormais privé et son utilisation est parcimonieuse.

«J’ai la plupart des photos originales sauvegardées à partir de mon téléphone, mais toutes les modifications de photos (filtres, etc.) que j’ai faites dans l’application, quels que soient les souvenirs que j’ai joints aux légendes et les commentaires des autres», a déclaré Burn. « Assez décevant … Je n’ai rien publié sur le compte pendant un an après l’avoir récupéré, et je n’ai recommencé à publier des photos que récemment. »

Open Source est rendu possible par Omidyar Network. Tout le contenu Open Sourced est éditorialement indépendant et produit par nos journalistes.