Fuite en avant sécuritaire : pour se protéger des pirates, revenons aux cartes à clés low-tech !
Publié par Jacques Tiberi dans Billets Le
26/03/2025 à 17:04
Chaque innovation en matière de sécurité est rapidement contournée par les mafias. Même l'authentification à deux facteurs serait désormais obsolète. Il existe pourtant une solution low-tech incraquable qui mettrait les voleurs en PLS. Révélations.
Vous avez peut-être entendu parler du nouvel outil de phishing baptisé Astaroth, qui menace la sécurité des comptes en ligne même protégés par une authentification à deux facteurs (2FA).
Commercialisé sur Telegram pour 2 000 $, ce kit cible des services populaires comme Gmail, Microsoft 365, Yahoo... Astaroth contourne la 2FA en incitant les utilisateurs à cliquer sur des liens malveillants qui interceptent les jetons d'authentification. Les informations volées, telles que les noms d'utilisateur, mots de passe et jetons, sont ensuite transmises aux pirates via Telegram.
Quelle que soit la technicité du dispositif de sécurité, il y aura toujours des failles humaines qui permettront de déjouer les protections. Aucune fuite en avant technologique n'accouchera d'un système infaillible.
Pourtant, des méthodes d'authentification robustes et low-tech existent, notamment les clés de sécurité matérielles (type USB) oul les cartes à clés, dont nous allons parler.
Les cartes à clés personnelles : la double authentification low-tech
Les cartes à clés personnelles sont des dispositifs de sécurité autrefois utilisés par certaines banques pour authentifier leurs clients lors d’opérations sensibles, comme les virements en ligne ou l’accès à des services bancaires sécurisés.
Ces cartes, sous forme de tableaux de codes imprimés ou de générateurs de mots de passe à usage unique (OTP), sont simples d'utilisation : quand un client effectue une transaction, la banque lui demande un code spécifique figurant sur sa carte en demandant le chiffre noté en case B 12 par exemple (voir notre illustration).
Ces cartes pourtant ultra-efficaces, ont été remplacées par des solutions numériques voire biométriques... fragiles ! Aujourd'hui, à notre connaissance, la seule banque à les proposer encore est le Crédit Mutuel. Peut-être y'en a-t-il d'autre, dites le nous en commentaire !
Commentaires (3)
vahic
Le 11/04/2025 à 10:11
je sais pas si vous parliez de la petite calculette où on insert la carte bancaire qui genere un code que nous soumettons dans les formulaire des pages Web.
Crédit cooperatif fonctionnait comme cela.
Pour une transaction donnée, on insert la carte bleu dans la calculette qui permet de generer un chiffre aléatoire ...
Patrick
Le 16/04/2025 à 13:57
Non en l'occurrence l'article parle de cartes plastifiées préimprimées, propres à chaque client et contenant un tableau de codes, que certaines banques envo(yai)ent à leur clients.
Pas besoin de calculatrices, de générer à la volée des codes à usage temporaire, d'application sur smartphone pour valider l'opération, etc. : chaque opération demande simplement de saisir l'un des codes du tableau du client, et quand tous les codes ont été utilisés on génère un nouveau tableau.
AnneM
Le 04/06/2025 à 11:21
J'ai toujours cette carte; le CIC fonctionne avec pour tous les virements.