Le directeur principal de la cybersécurité de Hikvision sur les problèmes de sécurité actuels : Microsoft décourage l'utilisation de l’AMF par SMS et de la voix, ainsi qu'une nouvelle attaque de smishing mobile
Dans le blogue HikWire d’aujourd’hui, Chuck Davis, directeur principal de la cybersécurité chez Hikvision, décrit les tendances en matière de sécurité. Il se concentre sur une recommandation récente de Microsoft qui décourage l’utilisation des SMS et l’authentification multifacteur (AMF) par la voix. Et, il couvre une nouvelle attaque de smishing mobile.
Microsoft décourage l'utilisation de l'AMF par SMS et de la voix
L’AMF, également appelée authentification à deux facteurs (2FA), est utilisée pour mieux sécuriser les comptes d'utilisateurs contre les attaques de mot de passe. L'authentification multifacteur ajoute au moins deux éléments de preuve ou facteurs vérifiables au processus d'authentification pour réduire considérablement les problèmes de sécurité en réduisant les chances d'accès à un compte par la mauvaise personne.
Cette semaine, Alex Weinert de Microsoft a écrit dans son blogue : ‘‘Aujourd'hui, je veux faire ce que je peux pour vous convaincre qu'il est temps de commencer à vous éloigner des mécanismes d'authentification multi-facteurs (AMF) par SMS et vocaux. Ces mécanismes sont basés sur des réseaux téléphoniques commutés publiquement (PSTN), et je pense qu'ils sont les moins sûrs des méthodes AMF disponibles aujourd'hui.’’
Il s'agit d'un appel aux sites Web et aux applications pour qu'ils éliminent progressivement l’AMF par SMS au profit d'options plus puissantes telles qu'une application d'authentification pour téléphone intelligent. C'est également un appel aux utilisateurs finaux pour qu'ils choisissent des méthodes d'authentification multifacteur plus fortes lorsqu'elles sont disponibles.
Les faiblesses de l’AMF par SMS sont connues depuis longtemps. Il y a eu de nombreuses conférences sur la cybersécurité sur le sujet et Krebs On Security a rapporté dans l'article de 2016, “The Limits of SMS for 2-Factor Authentication.”
Bien que le SMS soit sans doute la forme la plus faible d’AMF, c'est toujours mieux que d'utiliser simplement un nom d'utilisateur et un mot de passe. Bitdefender a écrit: ‘‘Même une AMF basée sur SMS vulnérable est meilleure que pas d’AMF du tout.’’
Attaque de smishing de paiement mobile
Nous avons expliqué les attaques de smishing dans ce blogue HikWire. Les attaques de smishing (hameçonnage par SMS) sont en augmentation et nous sommes tous des cibles vulnérables.
Le terme smishing est un mot qui combine le terme SMS (messagerie texte) et le mot phishing (hameçonnage) : SMS + phishing = smishing. Comme vous l'avez peut-être deviné, le smishing est un hameçonnage qui utilise des SMS et des types de messagerie texte similaires.
Selon Naked Security, l'une des dernières campagnes de smishing permet aux attaquants d'envoyer un SMS aux victimes, prétendant provenir de l'opérateur mobile de la victime. Le message indique : "Nous n'avons pas reçu votre paiement de facture récent, veuillez mettre à jour vos informations via ce lien [URL malveillante] pour éviter des frais supplémentaires."
Si la victime clique sur le lien, un écran de connexion lui est présenté qui tente d'inciter la victime à fournir involontairement ses informations de connexion à l'attaquant.
Pour en savoir plus sur le smishing, lisez cet article sur Hikvision.
Pour plus d'informations sur ces types de problèmes de sécurité, consultez la liste complète de blogues sur la cybersécurité de Hikvision.