Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le piratage Reddit, ou les dangers de l’authentification par SMS

septembre 2018 par Arnaud Gallut, Regional Sales Director chez Ping Identity

En juin 2018, le site américain Reddit, le plus gros forum Internet du monde, avec 234 millions de visiteurs uniques par mois, et un des 3 sites les plus consultés aux Etats Unis, a subi un piratage de grande ampleur. Les attaquants ont eu accès à un gros volume de données, dont des adresses électroniques, des codes source, des fichiers internes et la sauvegarde d’une base de données d’utilisateurs datant de 2007.

Un piratage malheureusement plutôt banal, mais qui l’est moins par la méthode utilisée par les pirates pour pénétrer au sein des systèmes de Reddit. En effet, ceux-ci ont pris le contrôle de comptes appartenant à plusieurs employés de Reddit chez des fournisseurs d’hébergement cloud et de code source. L’accès à ces comptes était pourtant protégé par un système d’authentification à deux facteurs, gage de sécurité avancée, mais le deuxième de ces facteurs était un code envoyé par SMS, que les attaquants ont réussi à intercepter.

Le facteur de risque posé par les authentifications basées sur des messages SMS est pourtant connu depuis quelques années, car des pirates peuvent lancer une attaque dite de « SIM swapping » pour prendre le contrôle de la carte SIM d’un utilisateur et ainsi récupérer toutes les données qu’elle reçoit sur son numéro de mobile. C’est manifestement ce qui s’est produit dans le cas du piratage des systèmes de Reddit. Comme l’a reconnu son responsable informatique : « Nous avons appris à nos dépens qu’une authentification multi facteurs utilisant un message SMS n’était pas aussi sûre que nous le pensions, car c’est l’interception de SMS qui a provoqué la faille. »

La généralisation des méthodes d’authentification multi facteurs pour protéger les accès est clairement la solution pour pallier aux faiblesses du binôme traditionnel identifiant mot de passe. Mais l’attaque menée contre Reddit prouve donc qu’une seconde étape d’authentification via un message SMS est certes pratique et largement utilisée, par exemple pour authentifier des paiements par carte bancaire, mais n’offre pas des garanties de sécurité suffisantes pour protéger les accès à des données critiques d’entreprise.

D’autres méthodes existent aujourd’hui, toutes aussi simples à implémenter et à utiliser mais beaucoup mieux sécurisées, telles que des applications d’authentification sur mobile utilisant la biométrie offerte par le terminal, les « soft tokens » à usage unique sur mobile, PC/Mac ou via email, ou encore de « hard tokens » connectés sur un port USB.


Voir les articles précédents

    

Voir les articles suivants