La communauté crypto se demande si l’authentification à deux facteurs SMS (2FA) devrait jamais être utilisée pour la sécurité des comptes après l’annonce qu’un client Coinbase poursuit l’échange de crypto-monnaie pour 96 000 $.
Le 6 mars, Jared Ferguson a déposé une procès contre Coinbase devant le tribunal de district des États-Unis pour le district nord de Californie, affirmant qu’il avait perdu « 90% de ses économies » après que des fonds aient été retirés de son compte par des voleurs d’identité et que Coinbase avait refusé de le rembourser.
Ferguson aurait été la proie d’un type de vol d’identité connu sous le nom de « SIM swapping », qui permet aux fraudeurs de prendre le contrôle d’un numéro de téléphone en incitant le fournisseur de télécommunications à lier le numéro à leur propre carte SIM.
Cela leur permet de contourner tout SMS 2FA sur un compte, et dans cette situation leur aurait permis de confirmer le retrait de 96 000 $ du compte Coinbase de Ferguson.
Ferguson a affirmé avoir perdu le service après le piratage de son téléphone le 9 mai et a remarqué que les fonds avaient été prélevés sur son compte Coinbase après avoir obtenu une nouvelle carte SIM et restauré son service conformément aux instructions de son fournisseur de services T-Mobile.
T-Mobile avait déjà été poursuivi par une victime d’échange de carte SIM en février 2021 à la suite du vol d’environ 450 000 $ de Bitcoin (BTC).
Coinbase a nié toute responsabilité dans le piratage du compte de Ferguson, lui disant dans un e-mail qu’il est « responsable de la sécurité de votre e-mail, de vos mots de passe, de vos codes 2FA et de vos appareils ».
En rapport: Hacker rend les fonds volés à Tender.fi et obtient une prime de 97 000 $
Les membres de la communauté cryptographique doutaient généralement que le procès de Ferguson aboutisse, notant que Coinbase encourage l’utilisation d’applications d’authentification pour 2FA plutôt que SMS et décrit cette dernière étant la forme d’authentification « la moins sécurisée ».
Je suppose que son mot de passe a été compromis car il a été utilisé sur d’autres sites, dont l’un a été piraté. En outre, Coinbase encourage l’application Authenticator pour 2FA en la qualifiant de « sécurisée » et SMS comme « modérément sécurisé ».
— Dave Ferguson (@_sc0rn) 7 mars 2023
Certains utilisateurs de Reddit discutant du procès dans un article intitulé « Ne jamais utiliser SMS 2FA » sont allés jusqu’à suggérer que SMS 2FA devrait être bannimais a noté qu’il s’agissait de la seule option d’authentification disponible pour de nombreux services, comme l’a déclaré un utilisateur :
« Malheureusement, de nombreux services que j’utilise n’offrent pas encore Authenticator 2FA. Mais je pense vraiment que l’approche SMS s’est avérée dangereuse et devrait être interdite.
La société de sécurité Blockchain CertiK a mis en garde contre les dangers de l’utilisation de SMS 2FA en septembre, son expert en sécurité Jesse Leclere déclarant à Cointelegraph que « SMS 2FA est mieux que rien, mais c’est la forme la plus vulnérable de 2FA actuellement utilisée ».
Leclere a déclaré que les applications d’authentification dédiées telles que Google Authenticator ou Duo offrent presque toute la commodité d’utiliser SMS 2FA tout en supprimant le risque d’échange de carte SIM.
Les utilisateurs de Reddit ont partagé des conseils similaires, mais les applications d’authentification ajoutées sur les téléphones font également de cet appareil un point de défaillance unique et ont recommandé l’utilisation de dispositifs d’authentification matérielle distincts.