En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

L’opérateur mobile EE échangeait des mot de passe sur… Twitter

laisser un avis
Le lièvre levé par Troy Hunt à la veille de la nouvelle année a dû donner des sueurs froides au management d'EverythingEverywhere (EE), la coentreprise issue de la fusion d'Orange et T-Mobile au Royaume-Uni, qui y est maintenant le premier opérateur mobile : le support technique d'EE est accessible via les comptes Twitter, sur lesquels les techniciens du support n'hésitaient pas à demander leurs mots de passe aux utilisateurs en quête d'assistance, afin de vérifier leur identité.
L'idée même d'envoyer son mot de passe par messagerie instantanée à un support technique quel qu'il soit devrait alerter un utilisateur même peu averti. Et bien entendu, le fait pour un support technique de demander ce mot de passe de cette manière est une pratique issue d'un passé qu'on aurait espéré révolu. L'histoire ne s'arrête pas là : des spécialistes de la sécurité ont aussitôt créé des comptes Twitter jumeaux du compte légitime et vérifié d'EE, et se sont arrangés pour y faire venir les utilisateurs demandant du support, afin de démontrer combien il leur était simple de se faire passer pour le vrai support EE, et de pouvoir obtenir les mots de passe des utilisateurs habitués à cette pratique par EE.

On pourra appeler ceci du « social engineering » et accuser le manque de méfiance des utilisateurs. Mais n'est-ce pas aussi le rôle des fournisseurs de service de protéger leurs clients en palliant ce manque de méfiance par des techniques de sécurité adéquates ? Ce problème met en lumière l'unilatéralité de la sécurité vue par les fournisseurs de services. L'important étant d'empêcher l'accès au service hors du contexte d'un compte existant, on oublie de protéger l'utilisateur contre le vol et l'usurpation de son compte, voire, avec l'exemple d'EE, on facilite même la tâche aux malfaiteurs.

Vers une authentification personnalisée ?

Plusieurs solutions existent : authentification mutuelle, mots de passe à usage unique utilisés dans les deux sens,  canaux sécurisés de bout en bout via SSL/TLS avec certificat serveur et client, canaux exploitant la sécurité du lien mobile, single-sign-on et fédérations d'identité sont quelques-unes des briques de base permettant de sceller une confiance mutuelle entre l'utilisateur et son fournisseur de service.

Mieux encore, à l'heure de l'application pour chaque chose, pourquoi ne pas fournir à l'utilisateur une application personnalisée, multisupports, qui rendrait cette authentification transparente et ne mettrait à contribution l'utilisateur que pour lancer la procédure, sans le forcer à retenir et protéger des secrets ?

Cela fonctionnerait bien sûr dans le cas d’EE, mais pourrait en général éliminer le phishing de données bancaires et autres, dès le moment où l’utilisateur s’habituera à ne plus avoir à gérer et divulguer de secrets lui-même. Si le facteur humain est si dangereux, il revient aux ingénieurs de concevoir des systèmes simples qui minimisent le risque potentiel qui lui est lié. Voici, s’il était besoin, une bonne résolution pour la profession en cette nouvelle année !
agrandir la photo

Hervé Sibert

Spécialiste et architecte chargé de la technologie sécurité chez ST-Ericsson, Hervé Sibert a obtenu son doctorat en mathématiques en 2003, après sa sortie de Polytechnique.

Avant de rejoindre NXP (fabricant de chipstets pour terminaux mobiles devenu ST-Ericsson) en 2006, il passe trois ans au département de recherche et développement de France Télécom en tant qu’ingénieur et chercheur en cryptographie et sécurité des réseaux.

envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
IOC : le nouvel or noir des cyberdéfenseurs
Peut-on sécuriser l’open-source ?
Heartbleed : que faire face à la faille de sécurité qui fait mal au coeur ? (vidéo)
Un second bug de Chrome permet d’écouter les conversations de ses utilisateurs
Trois minutes pour transformer une application Android en malware
Cybersécurité, 2013 a vu une explosion des vols de données à grande échelle
Les objets connectés seront le nouveau paradis des malwares
Etude Juniper et Rand : portrait détaillé du marché noir de la cybercriminalité
Google Glass : leur premier spyware prend des photos toutes les dix secondes
La protection des contenus 2.0 est arrivée
Le monde connecté de demain doit-il être centré sur la personne ou sur les objets ?
Des Anonymous, partis à l’assaut d’une banque, hackent le mauvais site…
La guerre de l’authentification est déclarée
La Snecma aurait été la cible d’une attaque du type point d’eau
Cybersécurité : il n’y a pas que la LPM dans la vie…
Valve ne vous espionne pas, il cherche à évincer les tricheurs
Kickstarter hacké, les données des utilisateurs ont été compromises
Google achète SlickLogin, une start-up qui sécurise les accès au Net par le son
Trusted Platform Module : pour le meilleur ou pour le pire ?
Interopérabilité et sécurité des systèmes domestiques