De récents évènements ont remis en avant les vulnérabilités du protocole SS7 utilisé par les différents opérateurs de télécommunication pour communiquer entre eux. Cela fait des années que certains experts tirent la sonnette d’alarme et dénoncent ce dispositif obsolète, mais visiblement les opérateurs téléphoniques mondiaux semblent relativement sourds à ces conseils.
Google ne croit plus à la double authentification par SMS
Google a donc décidé de prendre les devants afin de garantir une meilleure sécurité dans le monde car à ce jour un très grand nombre de services sur internet, services bancaires, validation de mots de passe, confirmations d’achat, etc. ont recours à la double authentification via l’envoi d’un SMS sur le smartphone.
Ce système vanté comme très sûr, offre une fausse sécurité aux utilisateurs qui se pensent à l’abri de piratage. En effet, pour beaucoup l’envoi d’un SMS de confirmation est synonyme de très grande sécurité sauf qu’en réalité, de nombreux hackers ont mis en évidence des failles au sein du protocole SS7, qui permettent de contourner cette authentification à double facteur.
La solution la plus simple, pour des hackers qui ne veulent pas trop se prendre la tête et qui sont prêts à dépenser quelques milliers de dollars, c’est de créer une société dans un pays peu scrupuleux et de se déterminer opérateur téléphonique ou de payer un employé travaillant dans une de ses entreprises, pour installer un dispositif permettant d’utiliser le protocole SS7 pour leurs méfaits.
Les hackers ayant eu accès à une base de données d’un piratage sur un service populaire ou après avoir installé un keylogger sur des PC, peuvent donc disposer de certaines informations leur permettant de valider la première étape d’un achat en ligne par exemple. Le système envoie alors le SMS de confirmation, qu’il est possible de détourner et de renvoyer vers un autre téléphone, les hackers disposent donc des deux authentifications et peuvent ainsi concrétiser leurs méfaits à l’insu de la victime.
Des notifications via internet à la place du SMS
Google souhaite ne plus passer par les réseaux téléphoniques mais via l’envoie d’une notification par internet, un moyen considérablement plus efficace, qui permet également de recevoir un rapport complet des opérations (date, IP, terminal, géolocalisation, etc.). Un atout supplémentaire pour faciliter le travail de la police et ainsi faire tomber ces réseaux de cybercriminels.
Ce système de double authentification via une notification arrivera dans quelques semaines sur Android et les utilisateurs sous iOS pourront utiliser l’application Google Search qui dispose de la fonctionnalité.
