Nous avons vu ensemble comment fonctionne Google Authenticator pour la validation à deux facteurs. De même, nous nous sommes intéressés à l’intérêt des codes de secours. Aujourd’hui, nous allons comprendre pourquoi Google n’utilise plus la validation par SMS ou par appel téléphonique. 

Attention au Sim Swapping

S’intéresser au Sim Swapping, est le préambule pour comprendre pourquoi Google ne propose plus la double authentification via l’envoi d’un Sms ou appel téléphonique.

[winamaz single= »B07M8YBWQZ » template= »horizontal »]

Le Sim Swapping se définit comme étant est le fait de subtiliser l’identité d’une personne à son insu par le biais d’une carte Sim. La technique est simple : 

  • récupérer des informations personnelles sur une personne (nom, prénom, date de naissance, adresse postale, etc…), 
  • prendre contact avec la société assurant l’utilisation d’un abonnement pour téléphone mobile de la personne,
  • demander un renouvellement de la carte SIM avec envoi à une adresse postale différente,
  • utilisation de la nouvelle carte SIM avec envoi d’informations sur réseaux sociaux ou achats divers

L’auteur d’une telle escroquerie est un Sim Swapper.

Validation par SMS ou appel téléphonique de Google
Dessin DR

L’action du Sim Swapper

Ce piratage de smartphones permet pour le voleur dans le cadre d’achat en ligne, d’effectuer des commandes de produits sur des sites de commerces électroniques et de recevoir le code de validation que beaucoup de sites de ce type demandent pour valider l’achat. À partir de ce moment-là, la personne titulaire du numéro, ne verra pas la demande de validation, mais c’est elle qui paiera la marchandise, sans en voir bien sûr la couleur. 

Dans le cadre du Sim Swapping mais ici dans l’environnement de publications sur les réseaux sociaux, cela touche en général des personnes ayant une certaine influence médiatique, dirigeants politiques ou autres dont les publications sur les réseaux sociaux sont lus avec attention. Le Sim Swapper va dans ce cadre là publier de fausses informations dans un laps de temps très court, avant que le titulaire du compte ne les fasse arrêter. Je prendrais pour exemple Jack Dorsey, patron de Twitter qui  en 2019, a été victime de l’arnaque à la carte Sim sur son propre compte Twitter

Les mesures prises par les FAI

Pour parer à ce type d’escroquerie, les FAI français ont mis en place différentes mesures :

  • impossibilité pour les centres d’appels de renouveler la carte Sim,
  • alerte si une nouvelle demande de carte SIM est faite, alors qu’elle vient d’être changé,
  • refus de changement de la carte SIM si le demandeur ne se localise pas dans le pays habituel de résidence du propriétaire du numéro de téléphone,
  • mise en place d’un outil baptisé SIM Verify et destiné à l’ensemble des opérateurs membres de l’Association Française pour le développement des services et usages Multimédias Multi-opérateur (AF2M).

Tous ces points de contrôle, doivent permettre de combattre le Sim Swapping, en sachant que ce n’est pas les opérateurs qui anticipent ce type d’attaques mais plutôt eux qui s’adaptent. 

Validation par SMS ou appel téléphonique de Google

Aujourd’hui Google ne propose plus la validation par SMS ou appel téléphonique, car vous aurez compris que sa responsabilité pourrait être engagée en cas de vol de données. Les autres moyens pour valider une identité sont, comme nous l’avons déjà vu, assez contraignants d’une certaine manière, mais permettent de s’assurer que l’utilisateur est bien celui qu’il dit être.

Je peux comprendre la réticence de madame Michu d’utiliser un protocole d’authentification à double facteurs par le biais de Google Authenticator. Il est tellement simple de valider l’envoi d’un SMS. Mais ce temps si tant soit-il qu’il soit précieux, que comptera t-il lors de l’usurpation d’identité permettant l’achat de marchandises ? Que sera-t-il face aux soucis financiers que cela peut engendrer ? Car la finalité d’un tel vol, car il s’agit bien de cela, ne sera supporté que par la personne l’ayant subie. Site marchand, service bancaire, mais aussi escroc, personne ne verra le désarroi engendré par une telle escroquerie. 

[winamaz single= »B06XHTKFH3″ template= »horizontal »]

Toujours faire attention

Aujourd’hui encore, des sites marchands utilisent ce type d’identification et de validation d’achats. Refusez la validation de ce type en vous tournant vers d’autres magasins en ligne. Facile à dire allez vous dire, mais en refusant une telle démarche, vous assurez votre sécurité numérique.

Êtes-vous amené à rencontrer aujourd’hui encore des sites marchands proposant la validation par SMS ou appel téléphonique ? 

Soutenez le podcast et Mychromebook !

Le CKB SHOW est soutenu par ses auditeurs. Débloquez des avantages
et rémunérez Nicolas pour son travail avec Tipeee !

Je débloque les avantages
Tags:
Cats:
AstucesGoogleLes BasesSécurité
Shares:

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.