Les SMS sont figés dans le temps.
Les gens utilisent et comptent encore sur des milliards de SMS chaque année pour échanger des messages avec des amis, partager des photos de famille et copier des codes d’authentification à deux facteurs pour accéder aux données sensibles de leurs comptes bancaires. Il est difficile de croire qu’à une époque où des technologies comme l’IA transforment notre monde, une norme de messagerie mobile vieille de quarante ans soit toujours aussi répandue.
Comme toute technologie vieille de quarante ans, le SMS est désuet par rapport à ses homologues modernes. C’est particulièrement préoccupant en matière de sécurité.
Le monde a changé, mais les SMS n’ont pas changé avec lui
Selon un récent papier blanc Selon Dekra, laboratoire de certifications et de tests de sécurité, les failles de sécurité des SMS peuvent notamment conduire à :
- Interception de SMS : Les attaquants peuvent intercepter les messages SMS en exploitant les vulnérabilités des réseaux des opérateurs mobiles. Cela peut leur permettre de lire le contenu des messages SMS, y compris des informations sensibles telles que les codes d’authentification à deux facteurs, les mots de passe et les numéros de carte de crédit, en raison du manque de cryptage offert par les SMS.
- Usurpation de SMS : Les attaquants peuvent usurper les messages SMS pour lancer des attaques de phishing et donner l’impression qu’ils proviennent d’un expéditeur légitime. Cela peut être utilisé pour inciter les utilisateurs à cliquer sur des liens malveillants ou à révéler des informations sensibles. Et comme les réseaux d’opérateurs ont développé indépendamment leurs approches en matière de déploiement de SMS au fil des années, l’incapacité des opérateurs à échanger des signaux de réputation pour aider à identifier les messages frauduleux a rendu difficile la détection des expéditeurs usurpés distribuant des messages potentiellement malveillants.
Ces résultats s’ajoutent à des faits bien établis sur les faiblesses de SMSle manque de cryptage étant le principal d’entre eux.
Dekra a également comparé les SMS à un protocole de messagerie sécurisé moderne et a constaté qu’il manquait de fonctionnalités de sécurité intégrées.
Selon Dekra, les utilisateurs de SMS ne peuvent répondre « oui » à aucune des questions de sécurité de base suivantes :
- Confidentialité: Puis-je être sûr que personne d’autre ne pourra lire mes SMS ?
- Intégrité: Puis-je être sûr que le contenu des SMS que je reçois n’est pas modifié ?
- Authentification: Puis-je avoir confiance en l’identité de l’expéditeur du SMS que je reçois ?
Mais ce n’est pas seulement théorique : les cybercriminels ont également pris conscience du manque de protections de sécurité offertes par les SMS et ont exploité à plusieurs reprises ses faiblesses. Les pirates informatiques débutants et les groupes d’acteurs menaçants avancés (tels que UNC3944 / Araignée dispersée et APT41 enquêté par Mandiantqui fait partie de Google Cloud) exploite les failles de sécurité des SMS pour lancer différents types d’attaques contre les utilisateurs et les entreprises.
Les cyberattaques malveillantes qui exploitent l’insécurité des SMS ont entraîné des usurpations d’identité, des pertes financières personnelles ou d’entreprise, un accès non autorisé à des comptes et des services, et pire encore.
Les utilisateurs se soucient plus que jamais de la sécurité et de la confidentialité de la messagerie
Les utilisateurs iOS et Android comprennent l’importance de la sécurité et de la confidentialité lors de l’envoi et de la réception de messages et souhaitent désormais plus de protection que ce que les SMS peuvent offrir.
Un nouveau VousGov L’étude a examiné ce que les utilisateurs d’appareils sur toutes les plateformes pensent et ressentent à l’égard des SMS ainsi que leur désir de plus de sécurité pour protéger leurs messages texte.
Il est temps d’abandonner les SMS
Le paysage de la sécurité en ce qui concerne les SMS est simple :
- Le SMS est largement utilisé
- Les SMS sont facilement abusés car ils offrent très peu de protections.
- Les utilisateurs de smartphones sur les plateformes mobiles se soucient plus que jamais de la sécurité
L’évolution continue de l’écosystème mobile dépendra de la capacité des utilisateurs à faire confiance et à se sentir en sécurité, quel que soit le téléphone qu’ils utilisent. La sécurité de l’écosystème mobile est aussi forte que son maillon le plus faible et, malheureusement, les SMS sont à la fois un maillon important et faible de la chaîne, en grande partie parce que les SMS entre les iPhones et les Androids reviennent aux SMS.
En tant qu’écosystème mobile, nous devons collectivement à tous les utilisateurs, sur toutes les plateformes, de leur permettre d’être aussi en sécurité que possible. Il est dommage qu’un problème tel que la sécurité des SMS reste aussi important, en particulier lorsque de nouveaux protocoles comme RCS sont bien établies et amélioreraient considérablement la sécurité de tous.
Aujourd’hui, la plupart des opérateurs mondiaux et plus de 500 fabricants d’appareils Android prennent déjà en charge RCS et RCS est activé par défaut sur Messages by Google. Cependant, que la solution soit RCS ou autre, il est important que notre industrie s’oriente vers une solution à un problème qui aurait dû être résolu avant le début de l’ère des smartphones.
