L’opérateur mobile EE échangeait des mot de passe sur… Twitter

L'idée même d'envoyer son mot de passe par messagerie instantanée à un support technique quel qu'il soit devrait alerter un utilisateur même peu averti. Et bien entendu, le fait pour un support technique de demander ce mot de passe de cette manière est une pratique issue d'un passé qu'on aurait espéré révolu. L'histoire ne s'arrête pas là : des spécialistes de la sécurité ont aussitôt créé des comptes Twitter jumeaux du compte légitime et vérifié d'EE, et se sont arrangés pour y faire venir les utilisateurs demandant du support, afin de démontrer combien il leur était simple de se faire passer pour le vrai support EE, et de pouvoir obtenir les mots de passe des utilisateurs habitués à cette pratique par EE.

On pourra appeler ceci du « social engineering » et accuser le manque de méfiance des utilisateurs. Mais n'est-ce pas aussi le rôle des fournisseurs de service de protéger leurs clients en palliant ce manque de méfiance par des techniques de sécurité adéquates ? Ce problème met en lumière l'unilatéralité de la sécurité vue par les fournisseurs de services. L'important étant d'empêcher l'accès au service hors du contexte d'un compte existant, on oublie de protéger l'utilisateur contre le vol et l'usurpation de son compte, voire, avec l'exemple d'EE, on facilite même la tâche aux malfaiteurs.

Plusieurs solutions existent : authentification mutuelle, mots de passe à usage unique utilisés dans les deux sens,  canaux sécurisés de bout en bout via SSL/TLS avec certificat serveur et client, canaux exploitant la sécurité du lien mobile, single-sign-on et fédérations d'identité sont quelques-unes des briques de base permettant de sceller une confiance mutuelle entre l'utilisateur et son fournisseur de service.

Mieux encore, à l'heure de l'application pour chaque chose, pourquoi ne pas fournir à l'utilisateur une application personnalisée, multisupports, qui rendrait cette authentification transparente et ne mettrait à contribution l'utilisateur que pour lancer la procédure, sans le forcer à retenir et protéger des secrets ?

Cela fonctionnerait bien sûr dans le cas d’EE, mais pourrait en général éliminer le phishing de données bancaires et autres, dès le moment où l’utilisateur s’habituera à ne plus avoir à gérer et divulguer de secrets lui-même. Si le facteur humain est si dangereux, il revient aux ingénieurs de concevoir des systèmes simples qui minimisent le risque potentiel qui lui est lié. Voici, s’il était besoin, une bonne résolution pour la profession en cette nouvelle année !