Blogue
Conseil en sécurité
url

Conseil en sécurité : Pourquoi les applications d'authentification sont plus sûres que les SMS pour sécuriser vos connexions

read-time
min
Illustration de l'article : Pourquoi les applications d'authentification sont plus sûres que les SMS

INTRODUCTION

L'une des meilleures façons de renforcer la sécurité de vos comptes est d'activer l'authentification multifacteur (AMF) : cela signifie que vous avez besoin de plus qu'un simple identifiant et mot de passe pour vous connecter. Nous recommandons fortement l'usage de l'AMF pour tous vos comptes sensibles.

Cependant, toutes les méthodes AMF ne se valent pas. Les applications d'authentification sont nettement plus sécurisées que la méthode par SMS, car elles génèrent les codes de sécurité directement sur votre appareil. À l'inverse, les codes reçus par SMS peuvent être interceptés.

QU'EST-CE QUE L'AUTHENTIFICATION MULTIFACTEUR ET POURQUOI EST-ELLE ESSENTIELLE ?

L'AMF ajoute une étape supplémentaire lors de la connexion. En plus de votre identifiant et de votre mot de passe, vous devez fournir une seconde preuve d'identité – comme un code reçu via une application ou un message texte.

Cette étape supplémentaire rend l'accès à votre compte beaucoup plus difficile pour un pirate, même s'il connaît votre mot de passe.

MÉTHODE AMF #1 : QU'EST-CE QU'UNE APPLICATION D'AUTHENTIFICATION ?

Une application d'authentification est une application mobile qui génère des codes de sécurité pour la connexion. Ces codes sont des TOTP (mots de passe à usage unique basés sur le temps) et changent toutes les 30 à 60 secondes.

Pour configurer une telle application, il suffit de scanner un QR code ou d'entrer une clé secrète. Cela lie l'application à votre compte et permet à l'application de générer les bons codes à chaque session.

Pour vous connecter, vous saisissez votre identifiant, votre mot de passe, ainsi que le code actuel affiché dans l'application. Si ce code correspond à celui attendu par le serveur, l'accès est accordé.

Parmi les applications les plus utilisées :

  • Duo Mobile
  • Authy
  • Microsoft Authenticator
  • Google Authenticator

MÉTHODE AMF #2 : L'AUTHENTIFICATION PAR SMS

L'authentification par SMS repose sur l'envoi d'un code de sécurité via message texte. Vous entrez ce code en complément de votre identifiant et de votre mot de passe. Ce code (OTP – mot de passe à usage unique) est temporaire, valable pour une seule utilisation.

Certaines plateformes peuvent également envoyer ces codes par email, mais le principe reste le même.

POURQUOI LES APPLICATIONS SONT PRÉFÉRABLES AUX SMS

Les applications d'authentification offrent une sécurité supérieure aux SMS pour plusieurs raisons :

  • Renouvellement constant : les codes changent automatiquement toutes les 30 à 60 secondes, rendant leur vol bien plus difficile.
  • Pas d'interception : les attaques dites « par interposition » (man-in-the-middle) permettent de voler les SMS, mais pas les codes générés en local.
  • Pas de risque de détournement de carte SIM (SIM swapping) : les hackers ne peuvent pas détourner votre numéro pour recevoir vos codes.
  • Moins de risques de piratage : les codes sont générés en local sur votre appareil, contrairement aux SMS qui transitent par les réseaux.

COMMENT LES CYBERCRIMINELS INTERCEPTENT LES CODES SMS

Voici deux techniques couramment utilisées :

  • Détournement de carte SIM : un cybercriminel contacte votre opérateur mobile, usurpe votre identité et fait activer une nouvelle carte SIM à votre nom. Il reçoit alors tous vos messages, y compris les codes d'accès.
  • Attaques de type « par interposition » : les cybercriminels interceptent votre trafic sur un Wi-Fi public non sécurisé (dans un café, un aéroport, etc.), et capturent vos SMS.

COMMENT SÉCURISER VOS COMPTES

  • Préférez une application d'authentification au lieu du SMS, chaque fois que c'est possible.
  • Protégez votre téléphone avec un mot de passe ou code PIN robuste.
  • Évitez les réseaux Wi-Fi publics pour saisir vos codes de sécurité.
  • Ne partagez jamais vos codes, même avec une personne de confiance.
  • Restez vigilant face aux tentatives d'hameçonnage (phishing) visant à vous soutirer vos informations.
Conseil en sécurité
Abonnez-vous à la newsletter

Abonnez-vous pour recevoir chaque semaine nos dernières nouvelles et informations dans votre boîte de réception.

En vous inscrivant, vous acceptez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.

Protégez votre vie numérique en détectant les risques avant qu'ils ne s'intensifient

Richter Guardian vous offre une cybersécurité au niveau de l'entreprise adaptée aux particuliers, aux familles et aux dirigeants.

Surveillance et renseignement sur les menaces 24h/24 et 7j/7
Détection du vol d'identité et de l'usurpation d'identité
Restauration rapide en cas d'incident et conseils d'experts
Demandez une consultation
En savoir plus
Have questions after reading?
Blogue

Articles connexes

Afficher tout
Illustration : Campagnes de hameçonnage visent hôtels et agences de voyage
Conseil en sécurité
temps de lecture
min de lecture

Conseil en sécurité : Enregistrement en Toute Sécurité – Des Campagnes de Hameçonnage Visent les Hôtels et les Agences de Voyage

Des campagnes d'hameçonnage ciblent les hôtels et agences de voyage via des canaux légitimes. Comment repérer l'arnaque et rester en sécurité.
En savoir plus

Introduction

Le secteur du tourisme retrouve progressivement ses chiffres d'avant la pandémie grâce à la levée des restrictions de voyage et de confinement à l'échelle mondiale. Malheureusement, les cybercriminels profitent également de cette reprise en lançant des campagnes sophistiquées pour compromettre les systèmes des sites de réservation, des hôtels et des agences de voyage. Une fois ces systèmes compromis, les cybercriminels s'en servent pour envoyer des courriels d'hameçonnage aux clients existants.

Résumé de l'arnaque d'hameçonnage visant les hôtels et agences de voyage

  1. Hameçonnage – Les attaquants envoient des messages en se faisant passer pour l'hôtel ou l'agence de voyage. Ces messages, envoyés via des canaux légitimes, demandent souvent une vérification supplémentaire des informations de carte de crédit.
  2. Nouvelle cible – Une fois les systèmes de l'hôtel compromis, les cybercriminels utilisent les canaux de communication de l'hôtel pour cibler les clients légitimes.
  3. Fichiers malveillants – Le fichier compressé téléchargé contient en réalité des exécutables malveillants (malware) qui infiltrent l'ordinateur de l'employé.
  4. Tromper les employés – En créant un sentiment d'urgence, l'attaquant envoie un lien URL par courriel, supposément contenant des documents essentiels. Le lien redirige l'employé vers une plateforme d'hébergement légitime (Google Drive, Dropbox, etc.), où il télécharge un fichier compressé.
  5. Point d'entrée – La campagne débute avec un acteur malveillant contactant un hôtel ou une agence de voyage pour obtenir des informations sur une réservation.

Comment rester en sécurité

  1. Faites confiance à votre instinct – Si un courriel vous semble suspect, contactez directement l'hôtel ou l'agence de voyage pour vérifier la légitimité de la communication.
  2. Prenez votre temps – Les attaquants cherchent souvent à créer un sentiment d'urgence. Prenez le temps d'examiner attentivement tout courriel vous demandant des informations sensibles ou des paiements.
  3. Évitez de cliquer sur des liens non sollicités – Soyez toujours sceptique vis-à-vis des liens non sollicités, même s'ils proviennent d'une source de confiance. Vérifiez les URL pour repérer des signes potentiels de fraude.

Comment Richter Gardien peut vous aider

Richter Gardien peut vous aider à gérer les arnaques complexes de hameçonnage. Appelez-nous ou envoyez-nous un courriel au +1 844-908-3950 ou à support@www.richterguardian.com si vous avez des doutes concernant un courriel ou une situation. Vos appareils mobiles et terminaux inscrits sont protégés : notre service détecte les liens suspects et bloque les sites web non sécurisés.

Illustration : AnyDesk – pirates informatiques et réinitialisation des mots de passe
Conseil en sécurité
temps de lecture
min de lecture

Conseil en sécurité : AnyDesk signale que des pirates informatiques ont infiltré ses serveurs de production

AnyDesk a confirmé une cyberattaque ayant touché ses systèmes de production. Recommandations : réinitialiser les mots de passe et vérifier les autres comptes.
En savoir plus

INTRODUCTION

Le 2 février 2024, AnyDesk a confirmé une récente cyberattaque qui a permis aux pirates informatiques d'accéder aux systèmes de production de la société. L'atteinte aux systèmes impliquait le vol de clés de signature de code source et de code privé.

AnyDesk offre une solution d'accès à distance largement utilisée par les entreprises pour le soutien à distance et l'accès aux serveurs en colocation. Elle a pris connaissance de l'attaque après avoir détecté un incident sur ses serveurs de production. À la suite d'un audit de sécurité, elle a repéré une compromission de ses systèmes et mis en place un plan d'intervention en collaboration avec CrowdStrike.

À la suite de la divulgation de l'atteinte aux systèmes, la société de cybersécurité Resecurity a rapidement annoncé qu'une personne tentait de vendre les identifiants de plus de 18 000 clients d'AnyDesk sur un forum de cybercriminalité bien connu.

INCIDENCES ET RECOMMANDATIONS

Même si AnyDesk affirme que les mots de passe n'ont pas été volés dans le cadre de l'attaque, les auteurs des menaces ont réussi à pénétrer ses systèmes de production.

  1. Si vous utilisez votre mot de passe AnyDesk sur d'autres plateformes, modifiez votre mot de passe sur ces plateformes également.
  2. Si vous utilisez AnyDesk, modifiez votre mot de passe.

CE QUE RICHTER GARDIEN PEUT FAIRE POUR VOUS AIDER

Notre plateforme comprend une surveillance du Web caché – un service qui peut déterminer si des identifiants compromis ont été trouvés sur le Web caché. Appelez-nous au +1 844-908-3950 ou écrivez-nous à support@www.richterguardian.com si vous avez des doutes. Si vous recevez un appel d'une personne qui prétend travailler pour le soutien technique ou si vous voyez apparaître une fenêtre contextuelle concernant la sécurité de votre appareil, appelez-nous pour que nous vous aidions à déterminer si la communication est légitime.

Illustration : La collecte de données par TikTok
Conseil en sécurité
temps de lecture
min de lecture

Conseil en sécurité : Démystifier la collecte de vos données par TikTok

La collecte de données par TikTok soulève des préoccupations en matière de vie privée et de sécurité. Quelles données sont recueillies et quelles en sont les incidences.
En savoir plus

INTRODUCTION

La vaste collecte de données par TikTok, y compris les renseignements personnels et les tendances d'utilisation des appareils, soulève des préoccupations en matière de protection de la vie privée et de sécurité, en particulier en raison de sa société mère chinoise, ByteDance. Alors que certains experts soutiennent que la collecte de données par TikTok n'est pas fondamentalement malveillante, d'autres sont sceptiques quant à la transparence de ses pratiques.

QUELLES INFORMATIONS SONT RECUEILLIES PAR TIKTOK ?

Données personnelles : TikTok a accès à des données personnelles comme des contacts, des calendriers, des renseignements sur l'appareil que vous utilisez, le système d'exploitation et votre emplacement. TikTok surveille le contenu que vous consommez et pendant combien de temps. Utilisation des appareils : TikTok surveille la façon dont vous utilisez votre appareil et son fonctionnement, y compris les habitudes ou rythmes de frappe, l'état de la batterie, les paramètres audio et les appareils audio connectés. Données d'emplacement : TikTok peut recueillir des renseignements GPS précis sur ses utilisateurs.

INCIDENCE DE LA COLLECTE DE DONNÉES

La collecte de données par les plateformes de médias sociaux comme TikTok peut avoir plusieurs conséquences risquées pour les utilisateurs quotidiens : préoccupations relatives à la protection de la vie privée, publicités ciblées, atteintes aux données, surveillance et suivi, et manipulation politique. Le stockage d'une grande quantité de données personnelles augmente le risque d'atteinte à la protection des données. Si les mesures de sécurité d'une plateforme sont atteintes, les renseignements confidentiels des utilisateurs pourraient être exposés.

CE QUE RICHTER GARDIEN PEUT FAIRE POUR VOUS AIDER

Appelez-nous au +1 844-908-3950 ou écrivez-nous à support@www.richterguardian.com si vous souhaitez connaître les pratiques exemplaires pour rester en sécurité tout en utilisant des plateformes comme TikTok.

Afficher tout