VK introduit enfin l’authentification à deux facteurs sur tous ses services et prévoit de la rendre obligatoire en février 2022 pour les administrateurs des grandes communautés.
VKontakte, ou plus communément appelé VK, est la plate-forme de médias sociaux la plus populaire de Russie avec plus de 650 millions d’utilisateurs,
À partir de février, toutes les communautés comptant plus de 10 000 abonnés doivent être gérées par un compte administrateur sécurisé 2FA pour éviter les incidents de phishing à grande échelle.
Il existe plus de 140 000 communautés de cette taille sur VK, donc cette exigence de sécurité accrue affecte un nombre considérable d’utilisateurs sur la plate-forme.
L’exemple le plus récent d’un tel incident a été vu ce lundi lorsque des escrocs ont piraté la communauté officielle Yandex Go sur VK et envoyé des messages de phishing à tous ses abonnés.
La plateforme a pu reprendre le contrôle du compte compromis en deux minutes, mais certains utilisateurs avaient déjà perdu de l’argent en conséquence.
Le nouveau programme de protection des utilisateurs qui ajoute 2FA sur tous les services s’appelle ‘VK Protéger‘ et comprendra également un centre de contrôle de sécurité pour les utilisateurs, les aidant à évaluer leur position en matière de sécurité, à accéder aux nouveaux paramètres de confidentialité et à suivre des conseils pertinents sur la façon d’améliorer la sécurité de leur compte.
Source : VKontakte
Anton Antropov, directeur de la sécurité de l’information de VK, a déclaré (traduit) ce qui suit concernant les fonctionnalités à venir :
Nous créons un système complet pour améliorer la sécurité des utilisateurs. Notre objectif n’est pas seulement de fournir une protection technique pour les profils et les données à l’aide d’outils existants tels que l’authentification à deux facteurs et le cryptage, mais aussi d’aider les gens à les utiliser à bon escient.
Dans le même contexte de lutte contre le phishing et les failles de sécurité qui pourraient se cacher dans les applications et services de la plateforme, VK a également annoncé le redémarrage et l’extension de son programme de bug bounty.
2FA n’est pas toujours sécurisé
Bien que le déploiement de 2FA pour tous les services VK soit sans aucun doute une évolution positive pour la sûreté et la sécurité des utilisateurs de la plateforme, ce n’est pas toujours un système parfait pour sécuriser vos comptes.
L’authentification à deux facteurs est généralement configurée pour envoyer des codes d’accès à usage unique (OTP) par SMS. Cependant, si un utilisateur accède à votre numéro de téléphone via une attaque par échange de carte SIM, il pourra accéder à ces codes OTP.
Lors de la configuration de 2FA, il est conseillé d’utiliser une application d’authentification, telle qu’Authy ou Google Authenticator, accessible uniquement via votre appareil. De cette façon, si un acteur malveillant effectue un échange SIM sur votre appareil mobile, il n’aura toujours pas accès à vos codes 2FA.
Dans l’ensemble, les utilisateurs ne devraient pas dépendre uniquement de 2FA, mais plutôt adopter une approche holistique en ce qui concerne la sécurité des comptes et leur présence en ligne en général. Cette approche comprend l’utilisation de mots de passe uniques et forts pour chaque compte en ligne et la recherche d’e-mails de phishing ciblés.