Vous pensiez être enfin en sécurité grâce à l’authentification à double facteurs que vous avez mise en place, pour vos messageries en ligne, pour certains de vos accès à des comptes clients ? Et bien vous ne l’êtes toujours pas totalement.
Le concept est pourtant simple et paraissait sécurisé : une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu’à ça.
Mais voilà, les pirates sont plus malins encore que ceux qui mettent en place ces procédés de sécurité. C’est ce dont s’est rendu compte Amnesty International qui vient de publier un rapport alertant sur de nouvelles campagnes de cyberattaques, qui parviennent à dépasser l’authentification à double facteurs (2FA) grâce au phishing.
Michal Salat, de chez Avast, nous explique :
« L’authentification à double facteurs a été conçue pour renforcer la protection des comptes contre l’usurpation des mots de passe par des personnes malveillantes. Si, par exemple, des informations d’identification de connexion sont compromises, une authentification à deux facteurs va alerter les utilisateurs lorsque quelqu’un tente de renseigner leurs identifiants pour se connecter à l’un de leurs comptes. En règle générale, 2FA est sûre, car les attaquants ont besoin d’un « token » de courte durée, transmis via une application ou un message texte, en plus des identifiants pour accéder à un compte.
Dans les campagnes rapportées par Amnesty, la vulnérabilité ne réside pas dans le processus, mais dans l’utilisateur. Ces attaques sont plus avancées que le phishing classique, qui amène les consommateurs à donner à leur insu leurs identifiants. Dans ces attaques sophistiquées, les cybercriminels incitent non seulement les internautes à révéler leur mot de passe via un site internet frauduleux, mais obligent également des services légitimes – tels que Google Mail ou Yahoo Mail – à envoyer un code d’authentification à deux facteurs à l’utilisateur, afin qu’il le saisisse sur le site de phishing. Les hackers détiennent alors à la fois les identifiants et le token, et peuvent se connecter aux comptes des victimes.
Selon le rapport, le niveau d’attention porté par les cybercriminels lors de la configuration des serveurs semble être plutôt faible, puisqu’ils ont eu par exemple recours à une liste de répertoires ouverte ; nous n’avons donc pas affaire à des experts. A l’avenir, nous pouvons nous attendre à ce que les attaques basiques de phishing adoptent rapidement cette technique pour contourner l’authentification à double facteurs. En effet, le code contenant cette fonctionnalité sera probablement bientôt vendu ou partagé sur le darknet, si cela n’est pas déjà le cas. Les cybercriminels n’auront alors qu’à effectuer quelques étapes supplémentaires pour créer et propager de nouvelles attaques à l’aide de cette technique.
Pour se protéger contre ce type d’attaques, les internautes peuvent utiliser des clés hardware, telle que Yubikey. En outre, ils doivent installer un antivirus sur tous leurs appareils connectés pour repérer et bloquer les sites de phishing. En effet, ces derniers sont extrêmement bien conçus, ce qui augmente le risque qu’un internaute soit dupé, aussi vigilant soit-il. Ainsi, Avast Antivirus utilise l’intelligence artificielle pour détecter les sites de phishing, vérifier la réputation et la date de création des domaines et des URL ; enfin, l’IA examine en détails les pixels de la page afin de repérer toute anomalie. »
Moralité : restez en permanence informé, sur les nouvelles techniques de sécurité en ligne, sur les avancées des pirates, sur les manières de pouvoir protéger vos données. Et pour ce qui relève de l’ultra confidentiel… abandonnez l’ordinateur !
Crédit photos : DR
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine