Des millions de personnes sont exposées à des escroqueries et à l'usurpation d'identité en raison de sites web qui authentifient les utilisateurs par le biais de liens et de codes envoyés par SMS, selon une étude récemment publiée. Cette pratique, destinée à simplifier le processus de connexion, rend les utilisateurs vulnérables à toute une série de délits.

L'étude, publiée la semaine dernière, a identifié plus de 700 points d'accès délivrant de tels SMS pour le compte de plus de 175 services. Ces services couvrent divers secteurs, notamment les devis d'assurance, les offres d'emploi et les recommandations de gardiens d'animaux et de tuteurs. Au lieu d'exiger des utilisateurs qu'ils créent et mémorisent des noms d'utilisateur et des mots de passe, ces services demandent un numéro de téléphone portable lors de l'inscription, puis envoient des liens d'authentification ou des codes d'accès par SMS lorsque l'utilisateur souhaite se connecter.

Une vulnérabilité essentielle réside dans l'utilisation de liens facilement énumérables, selon l'étude. Les escrocs peuvent potentiellement deviner ces liens en modifiant le jeton de sécurité, qui se trouve généralement à la fin de l'URL. Cela leur permet de contourner l'utilisateur prévu et d'obtenir un accès non autorisé aux comptes.

« La facilité avec laquelle ces liens peuvent être manipulés est alarmante », a déclaré [Expert Name], auteur principal de l'étude et chercheur en cybersécurité. « Cela ouvre la porte à des acteurs malveillants qui peuvent compromettre des comptes d'utilisateurs à grande échelle. »

Le recours à l'authentification par SMS s'est accru ces dernières années, car les entreprises cherchent à simplifier l'expérience utilisateur. Toutefois, les experts en sécurité mettent en garde depuis longtemps contre les risques inhérents à l'utilisation des numéros de téléphone comme principal facteur d'authentification. Les SMS ne sont pas cryptés et peuvent être interceptés ou usurpés.

L'étude souligne la nécessité de recourir à des méthodes d'authentification plus robustes, telles que l'authentification multifactorielle (MFA) qui utilise une combinaison de facteurs, notamment ce que l'utilisateur connaît (mot de passe), ce que l'utilisateur possède (téléphone) et ce que l'utilisateur est (biométrie).

Bien que l'étude n'ait pas nommé les services spécifiques concernés, elle a exhorté les utilisateurs à faire preuve de prudence lorsqu'ils cliquent sur des liens reçus par SMS et à activer la MFA chaque fois que cela est possible. Les chercheurs ont également appelé les entreprises à adopter des pratiques d'authentification plus sûres afin de protéger leurs utilisateurs contre les dommages potentiels.