Instagram les utilisateurs devraient bientôt disposer d’options plus sécurisées pour protéger leurs comptes contre les pirates d’Internet. Mardi, le Facebook-Le réseau social appartenant à Google a déclaré qu’il était en train de déployer la prise en charge d’applications d’authentification tierces. Malheureusement, cette nouvelle offre de sécurité bienvenue ne fait rien pour bloquer les prises de contrôle de comptes Instagram lorsque des voleurs parviennent à détourner le numéro de téléphone portable d’une cible – un crime de plus en plus courant.
Nouvelles options d’authentification à deux facteurs Instagram dit qu’il sera déployé auprès des utilisateurs au cours des prochaines semaines.
Pendant des années, les experts en sécurité ont averti que les pirates exploitaient une authentification faible sur Instagram pour réquisitionner des comptes. Instagram offre depuis longtemps aux utilisateurs une option de sécurité pour envoyer un code à usage unique par SMS à un appareil mobile, mais ces codes peuvent être interceptés via plusieurs méthodes (plus à ce sujet dans un instant).
La nouvelle offre d’authentification oblige les utilisateurs à télécharger une application tierce comme Authy, Duo ou Authentificateur Googlequi génère un code à usage unique qui doit être saisi une fois que l’utilisateur a fourni un mot de passe.
Dans un article de blog mardiInstagram a déclaré que la prise en charge des applications d’authentification tierces « a commencé à se déployer et sera disponible pour la communauté mondiale dans les semaines à venir.
Instagram m’a mis sur une liste blanche de comptes pour avoir un aperçu rapide de la nouvelle fonctionnalité de sécurité, donc ces options ne sont probablement pas encore disponibles pour la plupart des utilisateurs. Mais il y a une capture d’écran ci-dessous qui montre les options multi-facteurs disponibles dans l’application mobile. Lorsque ces options deviendront plus largement disponibles, Instagram indique que les utilisateurs peuvent utiliser une application tierce pour recevoir un code à usage unique. Pour faire ça:
- Accédez à vos paramètres.
- Faites défiler vers le bas et appuyez sur Authentification à deux facteurs.
- Si vous n’avez pas encore activé l’authentification à deux facteurs, appuyez sur Commencer.
- Appuyez sur à côté de Application d’authentification, puis suivez les instructions à l’écran.
- Entrez le code de confirmation de l’application d’authentification tierce pour terminer le processus.
Notez que si vous avez précédemment activé l’authentification par SMS, elle est probablement toujours activée à moins que et jusqu’à ce que vous la désactiviez. L’application invite également les utilisateurs à enregistrer une série de codes de récupération, qui doivent être conservés dans un endroit sûr au cas où leur appareil mobile serait perdu.
CE QUE ÇA NE RÉPARE PAS
Instagram a reçu beaucoup de mauvaise presse ces derniers temps de la part de publications faisant état de nombreuses personnes dont les comptes ont été piratés même si l’authentification par SMS d’Instagram était activée. Le fait est que beaucoup de ces histoires concernaient des personnes dont les comptes Instagram avaient été piratés parce que des fraudeurs avaient pu détourner leur numéro de téléphone portable.
Dans ces cas, les fraudeurs ont pu détourner les comptes Instagram parce que Instagram permet aux utilisateurs de réinitialiser les mots de passe de leur compte avec un seul facteur – en utilisant rien de plus qu’un message texte envoyé à un numéro de téléphone portable enregistré. Et rien dans ces nouvelles offres d’authentification ne changera cela pour les personnes qui ont partagé leur numéro de mobile avec Instagram.
Les criminels peuvent exploiter et exploitent les demandes de réinitialisation de mot de passe par SMS pour détourner des comptes Instagram en exécutant des «échanges de carte SIM» non autorisés, c’est-à-dire en incitant le fournisseur de téléphonie mobile de la cible à transférer le numéro de téléphone vers un appareil ou un compte qu’ils contrôlent et en interceptant le lien de réinitialisation du mot de passe envoyé via SMS. Une fois qu’ils ont détourné le numéro de mobile de la cible, ils peuvent alors réinitialiser le mot de passe du compte Instagram associé.
J’ai demandé à Instagram s’il y avait un moyen pour les personnes qui ont fourni leur numéro de téléphone à l’entreprise de désactiver les demandes de réinitialisation de mot de passe par SMS. J’ai reçu cette réponse de leurs relations publiques :
« Je peux confirmer que la désactivation des SMS à deux facteurs ne désactivera pas la possibilité de réinitialiser un mot de passe par SMS », a déclaré un porte-parole par e-mail. « Nous recommandons à la communauté d’utiliser une application tierce pour l’authentification, à la place de l’authentification par SMS. Nous continuerons à itérer et à améliorer ce produit pour assurer la sécurité des personnes sur notre plateforme.
Les échanges frauduleux de cartes SIM illustrent l’intérêt de s’éloigner de l’authentification par SMS lorsque des options plus sécurisées sont disponibles. Cela rend moins susceptible d’être ciblé par ces détournements de numéros de téléphone, qui sont généralement perpétrés par des attaquants déterminés et bien organisés.
La dure vérité est que si un attaquant veut suffisamment contrôler votre numéro de téléphone portable, il l’obtiendra. Et s’il le fait, il aura probablement accès à bien plus que votre compte Instagram : Quelqu’un qui pirate votre numéro de téléphone peut alors compromettre n’importe quel compte qui permet l’authentification ou la réinitialisation du mot de passe par SMS ou appel téléphonique automatisé.
En mai, BreachTrace a documenté le cas d’un homme de Boston dont le compte Instagram a été piraté après qu’un employé véreux de T-Mobile a transféré son numéro de téléphone sur un autre appareil sans autorisation. De plus, les autorités de Californie et de Floride ont récemment arrêté plusieurs hommes accusés d’avoir mené des attaques similaires et, selon les documents d’accusation, tous ces individus travaillaient régulièrement avec des associés dans des magasins de téléphonie mobile pour effectuer leurs cambriolages.
Au cas où vous l’auriez manqué, BreachTrace a publié un article plus tôt ce mois-ci sur les conseils de sécurité judicieux prétendument offerts par l’un des échangeurs de cartes SIM les plus accomplis de ces derniers temps, qui recommandait d’utiliser des services téléphoniques basés sur Internet comme la voix de Google au lieu de compter sur les fournisseurs de téléphonie mobile pour l’authentification multifacteur.
Clause de non-responsabilité standard : Si l’authentification par SMS est la forme de sécurité supplémentaire la plus puissante offerte par un site Web, cela reste bien mieux que de se fier uniquement aux mots de passe pour la sécurité de la connexion. Si des options basées sur des applications sont disponibles, profitez-en. Si le site en question propose des clés de sécurité matérielles, c’est encore mieux. 2fa.répertoire répertorie les options d’authentification multifacteur pour des centaines de sites, y compris probablement beaucoup que vous utilisez quotidiennement. Prenez un moment cette semaine pour renforcer vos options de connexion.