La société en sécurité informatique Bitdefender a laissé entendre qu'il ne fallait pas utiliser de double authentification par SMS à cause d'une méthode de piratage qui rend cette protection vulnérable. Après un début de polémique, l'entreprise a précisé qu'il valait mieux l'activer, plutôt que de n'avoir aucune protection du tout.

En matière de sécurité informatique, vous avez certainement entendu dire qu’il est plus que recommandé d’activer la double authentification (aussi appelée authentification forte ou authentification à deux facteurs) sur le maximum de sites et de services sur lesquels vous avez un compte. En effet, grâce à ce procédé, vos espaces gagnent une protection de plus, qui vient après votre mot de passe.

Il s’avère toutefois que toutes les solutions en matière de double authentification ne se valent pas. Et c’est justement sur les différences existantes d’une approche à l’autre que Bitdefender, une entreprise roumaine spécialisée dans les antivirus, s’est pris les pieds dans le tapis. Dans un billet de blog publié le 15 janvier, elle a laissé entendre que la double authentification basée sur le SMS était à éviter.

Il est vrai que la double authentification basée sur le SMS est moins sûre qu’une méthode reposant sur une application mobile, à cause d’une technique appelée « SIM swap scam ». Il s’agit d’une fraude trompant la double authentification basée sur le SMS, en détournant le numéro de téléphone sur une autre carte SIM que celle, légitime, du propriétaire, en faisant croire à l’opérateur que celle-ci a été perdue. De cette façon, le SMS de sécurité arrive non pas sur la première carte SIM, mais sur la seconde.

authentificator
Un exemple d’application pour la double authentification. // Source : Google

Mieux vaut la double authentification par SMS que rien du tout

Mais la manière dont Bitdefender a rédigé son billet de blog a créé un émoi certain parmi les spécialistes en sécurité informatique. Initialement, ce papier visait à pointer du doigt le fait qu’aux États-Unis les opérateurs de téléphonie mobile sont en majorité « vulnérables aux attaques de SIM swapping et ne disposent pas de procédures adéquates pour lutter contre les pirates informatiques ». Malheureusement, le récit final produit par l’entreprise a donné l’impression qu’il fallait renoncer à cette sécurité.

« La formulation de l’article parlant de double authentification et de SMS était mauvaise. Point barre. En tant qu’entreprise de sécurité, nous encourageons vivement tout le monde à utiliser la double authentification chaque fois que c’est possible, tout en notant que certains mécanismes de double authentification sont plus sûrs que d’autres et qu’il existe, en effet, des attaques ciblant les doubles authentifications basées sur les SMS », réagit le groupe sur Twitter le 21 janvier.

En définitive, tout est rentré dans l’ordre après les explications de Bitdefender. Certes, il vaut mieux utiliser une sécurité reposant sur une application dédiée, sur laquelle sont générés des codes provisoires à inscrire lors de la connexion, ou d’utiliser la vérification d’accès que certains sites envoient sur le smartphone associé au compte. Mais s’il n’y a pas d’alternative, alors il n’y a pas à hésiter. La double authentification par SMS, aussi imparfaite soit-elle, est toujours préférable à rien du tout.