La disparition de la double authentification par SMS est proche…

Pour des raisons de sécurité et pour éviter de se faire hacker, la double authentification par SMS devrait disparaitre.

Qu’est-ce que la double authentification par SMS ? Par exemple, lorsque vous faites un achat sur Internet, vous recevez un code par SMS à utiliser dans les minutes qui suivent de la part de votre banque pour finaliser un achat. Cette méthode permet de sécuriser et de vous authentifier au moment du paiement. Mais il se trouve que ce procédé ne soit pas si sécurisé que ça si on en croit le NIST.

L’heure de la fin de la double authentification par SMS ?

Le NIST, l’Institut national américain des normes et de la technologie, vient de publier son dernier rapport. En lisant, nous pouvons apprendre qu’un message envoyé avec un code à usage unique pouvait être intercepté facilement. Cette méthode est donc fortement déconseillée et sonnerait l’heure de la fin de la double authentification par SMS.

L’institut explique que « En raison du risque d’interception ou de redirection des SMS, les développeurs de nouveaux systèmes devraient examiner sérieusement d’autres alternatives« . Et au sujet de la disparition de la double authentification, il ajoute que « L’authentification Out of Band par SMS est obsolète et ne sera plus autorisée dans les prochaines versions de ce guide« . Il met donc les utilisateurs en garde contre cette pratique présentant plusieurs failles.

Les développeurs sont aussi concernés par cette mise en garde. Désormais, ils ont l’obligation de vérifier si le numéro pré-enregistré est bien lié à un réseau mobile et non pas à un VoIP ou un logiciel utilisant le réseau Internet. Enfin, le NIST recommande d’avoir deux facteurs d’authentification pour changer le numéro pré-enregistré.

Une solution parfaite serait-elle possible ? Si on en croit les dernières informations, oui : envoyer les codes par le biais d’une application sécurisée et demander à l’utilisateur de composer son mot de passe.