La communauté crypto débat de la question de savoir si l'authentification à deux facteurs par SMS (2FA) devrait toujours être utilisée pour la sécurité des comptes, suite aux nouvelles selon lesquelles un client de Coinbase poursuit l'exchange de cryptomonnaie pour 96 000 dollars.

Le 6 mars, Jared Ferguson a intenté une action en justice contre Coinbase devant le tribunal de district des États-Unis pour le district nord de la Californie, affirmant avoir perdu « 90 % des économies de sa vie » après que des fonds ont été retirés de son compte par des voleurs d'identité, et que Coinbase a refusé de le rembourser.

M. Ferguson aurait été victime d'un type d'usurpation d'identité connu sous le nom de "SIM swapping", qui permet aux fraudeurs de prendre le contrôle d'un numéro de téléphone en trompant l'opérateur de télécommunications pour qu'il relie le numéro à leur propre carte SIM.

Cela leur permet de contourner tout système de sécurité 2FA par SMS sur un compte et, dans ce cas, de confirmer le retrait de 96 000 dollars du compte Coinbase de M. Ferguson.

M. Ferguson a affirmé avoir perdu tout service après le piratage de son téléphone le 9 mai, et a remarqué que les fonds avaient été retirés de son compte Coinbase après avoir obtenu une nouvelle carte sim, et rétabli son service conformément aux instructions de son fournisseur de services T-Mobile.

T-Mobile a déjà été poursuivi en justice par une victime de substitution de carte SIM en février 2021, à la suite du vol d'environ 450 000 dollars en bitcoins (BTC).

Coinbase a nié toute responsabilité dans le piratage du compte de M. Ferguson, lui disant dans un courriel qu'il est « responsable de la sécurité de son e-mail, de ses mots de passe, de ses codes 2FA et de ses appareils ».

À lire également : Un pirate informatique retourne les fonds volés à Tender.fi et obtient une récompense de 97 000 $

Les membres de la communauté crypto ont généralement douté que la plainte de M. Ferguson aboutisse, notant que Coinbase encourage l'utilisation d'applications d'authentification 2FA plutôt que les SMS, et décrit ces derniers comme la forme d'authentification « la moins sûre ».

Je suppose que son mot de passe a été compromis parce qu'il était utilisé sur d'autres sites, dont l'un a été violé. Par ailleurs, Coinbase encourage l'utilisation de l'application Authenticator pour l'authentification 2FA en la qualifiant de « sécurisée » et les SMS de « modérément sécurisés ».- Dave Ferguson (@_sc0rn) 7 mars 2023

Certains utilisateurs de Reddit discutant du procès dans un post intitulé Ne jamais utiliser la 2FA par SMS sont allés jusqu'à suggérer que la 2FA par SMS devrait être interdite, mais ont noté qu'il s'agissait de la seule option d'authentification disponible pour de nombreux services, comme l'a dit l'un des utilisateurs :

« Malheureusement, beaucoup de services que j'utilise ne proposent pas encore Authenticator 2FA. Mais je pense vraiment que l'approche par SMS s'est avérée dangereuse et devrait être interdite. »

La société de sécurité blockchain CertiK a mis en garde contre les dangers de l'utilisation de la 2FA par SMS en septembre, son expert en sécurité Jesse Leclere déclarant à Cointelegraph que « la 2FA par SMS est mieux que rien, mais c'est la forme la plus vulnérable de 2FA actuellement utilisée ».

M. Leclere a déclaré que les applications d'authentification dédiées telles que Google Authenticator ou Duo offrent presque toute la commodité de l'utilisation de la 2FA par SMS, tout en éliminant le risque de substitution de cartes SIM.

Les utilisateurs de Reddit ont partagé des conseils similaires, mais ont ajouté que les applications d'authentification sur les téléphones font également de cet appareil un point de défaillance unique, et ont recommandé l'utilisation de dispositifs d'authentification matériels distincts.