Des ‘hameçonneurs’ peuvent désormais contourner l’authentification à deux facteurs

. © .
Els Bellens

Des ‘phishers’ ont trouvé une façon de contourner de manière automatique l’authentification à deux facteurs, comme il apparaît dans un rapport d’Amnesty International.

L’authentification à deux facteurs (en abrégé 2FA) est l’une des meilleures pratiques qui commence enfin à entrer dans les moeurs. L’idée sous-jacente à 2FA est la suivante: lorsqu’on se connecte à un site à partir d’un nouvel appareil, on a non seulement besoin d’un mot de passe, mais aussi d’un code à saisir, que l’entreprise propriétaire du site envoie par téléphone.

Cette mesure supplémentaire doit faire en sorte que les pirates n’accèdent pas automatiquement à votre Gmail par exemple au moyen d’une liste de ‘credentials’ (identifiants) dérobés suite à une fuite massive. Mais cette couche de protection complémentaire ne suffit peut-être plus, à en croire Amnesty International dans son rapport sur la sécurité.

Le rapport explique comment des hackers ont automatisé le processus de ‘craquage’ de comptes Gmail et Yahoo, y compris d’utilisateurs ayant utilisé 2FA. Le ‘phishing scam’ (escroquerie par hameçonnage) débute par une page Gmail factice qui sollicite un mot de passe. Une fois celui-ci saisi, la victime voit s’afficher une seconde page signalant qu’un code 2FA a été envoyé par sms à son téléphone. Lors des tests effectués par Amnesty, le téléphone utilisé avait bien reçu un message par sms contenant un véritable code de vérification de Google, indique le rapport. Si la victime saisit ce code, le pirate peut se connecter de façon légitime pour exercer un contrôle sur le compte dans son ensemble.

Cela peut sembler logique, et cela l’est aussi dans la réalité, mais la méthode et la manière dont cela peut à présent se faire automatiquement, soulignent une fois encore le danger du hameçonnage. Les utilisateurs vulnérables à ces techniques devront donc peut-être migrer vers des méthodes de sécurité encore plus solides, selon Amnesty. Les exemples donnés par l’organisation portent tous sur l’acquisition de jetons (‘tokens’) par sms, mais ce genre de méthode pourrait également être utilisée à des fins d’authentification par le biais d’une appli comme Google Authenticator, signale Amnesty.

Dans son rapport, l’organisation affirme que des hackers ont ainsi tenté ces deux dernières années de ‘craquer’ plus de mille comptes Google et Yahoo au Moyen-Orient et en Afrique du Nord.

Une solution possible, surtout pour les personnes qui gèrent des informations très confidentielles, est d’utiliser des jetons matériels, à savoir de petits appareils physiques destinés à vérifier votre identité. Google en possède un, mais d’autres acteurs en lancent aussi sur le marché.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire