Le fameux système d’envoi d’un SMS avec un code secret pour vérifier l’identité de l’utilisateur n’est pas assez sûr selon le NIST
Le NIST pour National Institute of Standards and Technology a clairement affiché son souhait de supprimer ce système de SMS de sécurité le jugeant trop peu sécurisé. A terme, elle annonce la démocratisation de la biométrie et des applications sécurisées pour remplacer ce système vétuste.
Les SMS de sécurité : une authentification peu sûr et dépassée
La pratique est pourtant devenue courante, la plupart des services utilisent cette méthode de double-authentification pour garantir un niveau de sécurité suffisant. Vos paiements par internet, vos services bancaires, les virements, récupérer un mot de passe oublié etc…
Mais pour le NIST cela n’est pas suffisant même s’il est très rare qu’une personne ait votre portable en même qu’elle possède aussi vos codes personnels. Tout d’abord, l’application doit vérifier qu’elle envoie bien le SMS de sécurité à une ligne cellulaire et non une ligne VoIP cela évite que vous receviez votre SMS de sécurité sur votre ordinateur. Bien pratique si une personne malveillante y a accès.
Mais, le point noir des messages qu’ils soient de sécurité ou non c’est qu’ils peuvent être interceptés. C’est pourquoi le NIST veut imposer une double-authentification plus sûre en passant par une application qui demanderait un code supplémentaire via un canal protégé sans aucune conservation des données.
Que pensez-vous des SMS de sécurité ? N’hésitez pas à nous laisser un commentaire
