Gmail de Google abandonne l'authentification 2FA par SMS pour une sécurité accrue
Google prévoit de supprimer l'authentification à deux facteurs (2FA) basée sur SMS pour Gmail, citant des failles de sécurité importantes. Pendant des années, la réception d'un code de vérification par SMS a été une option courante, mais ses faiblesses inhérentes en font une cible pour les acteurs malveillants. Ce changement vise à atténuer "l'abus généralisé et mondial des SMS", selon le porte-parole de Gmail, Ross Richendrfer. Le principal remplacement sera l'authentification basée sur les codes QR, déplaçant la dépendance des SMS vulnérables vers une technologie de scan plus sécurisée.
Bien que la 2FA par SMS offre une certaine sécurité, elle n'est pas infaillible. Les criminels peuvent intercepter les messages via l'échange de SIM, un processus où ils convainquent les opérateurs de transférer un numéro vers un appareil qu'ils contrôlent. De plus, les attaques de "pompage de trafic" exploitent les opérateurs pour envoyer des messages à des numéros malveillants, générant des revenus pour les auteurs. Le volume élevé de SMS de Google, utilisé à la fois pour la vérification des utilisateurs et la prévention du spam, le rend particulièrement vulnérable à ces attaques.
La vision à long terme est l'adoption généralisée des clés de passe pour éliminer complètement les mots de passe. Cependant, comme les taux d'adoption actuels restent faibles, l'amélioration des mesures de sécurité existantes, telles que le remplacement de la 2FA par SMS par des codes QR, est une étape intermédiaire cruciale.
Source: Engadget