En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

L’opérateur mobile EE échangeait des mot de passe sur… Twitter

laisser un avis
Le lièvre levé par Troy Hunt à la veille de la nouvelle année a dû donner des sueurs froides au management d'EverythingEverywhere (EE), la coentreprise issue de la fusion d'Orange et T-Mobile au Royaume-Uni, qui y est maintenant le premier opérateur mobile : le support technique d'EE est accessible via les comptes Twitter, sur lesquels les techniciens du support n'hésitaient pas à demander leurs mots de passe aux utilisateurs en quête d'assistance, afin de vérifier leur identité.
L'idée même d'envoyer son mot de passe par messagerie instantanée à un support technique quel qu'il soit devrait alerter un utilisateur même peu averti. Et bien entendu, le fait pour un support technique de demander ce mot de passe de cette manière est une pratique issue d'un passé qu'on aurait espéré révolu. L'histoire ne s'arrête pas là : des spécialistes de la sécurité ont aussitôt créé des comptes Twitter jumeaux du compte légitime et vérifié d'EE, et se sont arrangés pour y faire venir les utilisateurs demandant du support, afin de démontrer combien il leur était simple de se faire passer pour le vrai support EE, et de pouvoir obtenir les mots de passe des utilisateurs habitués à cette pratique par EE.

On pourra appeler ceci du « social engineering » et accuser le manque de méfiance des utilisateurs. Mais n'est-ce pas aussi le rôle des fournisseurs de service de protéger leurs clients en palliant ce manque de méfiance par des techniques de sécurité adéquates ? Ce problème met en lumière l'unilatéralité de la sécurité vue par les fournisseurs de services. L'important étant d'empêcher l'accès au service hors du contexte d'un compte existant, on oublie de protéger l'utilisateur contre le vol et l'usurpation de son compte, voire, avec l'exemple d'EE, on facilite même la tâche aux malfaiteurs.

Vers une authentification personnalisée ?

Plusieurs solutions existent : authentification mutuelle, mots de passe à usage unique utilisés dans les deux sens,  canaux sécurisés de bout en bout via SSL/TLS avec certificat serveur et client, canaux exploitant la sécurité du lien mobile, single-sign-on et fédérations d'identité sont quelques-unes des briques de base permettant de sceller une confiance mutuelle entre l'utilisateur et son fournisseur de service.

Mieux encore, à l'heure de l'application pour chaque chose, pourquoi ne pas fournir à l'utilisateur une application personnalisée, multisupports, qui rendrait cette authentification transparente et ne mettrait à contribution l'utilisateur que pour lancer la procédure, sans le forcer à retenir et protéger des secrets ?

Cela fonctionnerait bien sûr dans le cas d’EE, mais pourrait en général éliminer le phishing de données bancaires et autres, dès le moment où l’utilisateur s’habituera à ne plus avoir à gérer et divulguer de secrets lui-même. Si le facteur humain est si dangereux, il revient aux ingénieurs de concevoir des systèmes simples qui minimisent le risque potentiel qui lui est lié. Voici, s’il était besoin, une bonne résolution pour la profession en cette nouvelle année !
agrandir la photo

Hervé Sibert

Spécialiste et architecte chargé de la technologie sécurité chez ST-Ericsson, Hervé Sibert a obtenu son doctorat en mathématiques en 2003, après sa sortie de Polytechnique.

Avant de rejoindre NXP (fabricant de chipstets pour terminaux mobiles devenu ST-Ericsson) en 2006, il passe trois ans au département de recherche et développement de France Télécom en tant qu’ingénieur et chercheur en cryptographie et sécurité des réseaux.

envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Les agences gouvernementales de sécurité, nécessairement schizophrènes ?
Le futur de la carte à puce se joue sans cartes
2014 : l’année qui aura vu les COMEX se mobiliser pour leur cybersécurité ?
Pourquoi pas un recyclage intelligent des briques technologiques d'Ecomouv
JTech 201 : Spécial Mondial de l’auto 2014 (vidéo)
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Apple Pay, la fin de la fraude aux cartes bancaires ?
Apple et la sécurité : une rentrée 2014 forte en actualité !
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?
Consolidation dans la sécurité : Morpho rachète Dictao
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
La Coupe du Monde n’aura plus lieu
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros
L’entreprise, invitée surprise de la conférence Google I/O