Authentification à double facteurs : Des cyberattaques la contournent grâce au phishing

Vous pensiez être enfin en sécurité grâce à l’authentification à double facteurs que vous avez mise en place, pour vos messageries en ligne, pour certains de vos accès à des comptes clients ? Et bien vous ne l’êtes toujours pas totalement.

Le concept est pourtant simple et paraissait sécurisé : une fois activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée limitée. Ce code unique est parfois envoyé par email, parfois par SMS, et parfois disponible dans une application dédiée rien qu’à ça.

Mais voilà, les pirates sont plus malins encore que ceux qui mettent en place ces procédés de sécurité. C’est ce dont s’est rendu compte Amnesty International qui vient de publier un rapport alertant sur de nouvelles campagnes de cyberattaques, qui parviennent à dépasser l’authentification à double facteurs (2FA) grâce au phishing.

Michal Salat, de chez Avast, nous explique :

« L’authentification à double facteurs a été conçue pour renforcer la protection des comptes contre l’usurpation des mots de passe par des personnes malveillantes. Si, par exemple, des informations d’identification de connexion sont compromises, une authentification à deux facteurs va alerter les utilisateurs lorsque quelqu’un tente de renseigner leurs identifiants pour se connecter à l’un de leurs comptes. En règle générale, 2FA est sûre, car les attaquants ont besoin d’un « token » de courte durée, transmis via une application ou un message texte, en plus des identifiants pour accéder à un compte.

Dans les campagnes rapportées par Amnesty, la vulnérabilité ne réside pas dans le processus, mais dans l’utilisateur. Ces attaques sont plus avancées que le phishing classique, qui amène les consommateurs à donner à leur insu leurs identifiants. Dans ces attaques sophistiquées, les cybercriminels incitent non seulement les internautes à révéler leur mot de passe via un site internet frauduleux, mais obligent également des services légitimes – tels que Google Mail ou Yahoo Mail – à envoyer un code d’authentification à deux facteurs à l’utilisateur, afin qu’il le saisisse sur le site de phishing. Les hackers détiennent alors à la fois les identifiants et le token, et peuvent se connecter aux comptes des victimes.

Selon le rapport, le niveau d’attention porté par les cybercriminels lors de la configuration des serveurs semble être plutôt faible, puisqu’ils ont eu par exemple recours à une liste de répertoires ouverte ; nous n’avons donc pas affaire à des experts. A l’avenir, nous pouvons nous attendre à ce que les attaques basiques de phishing adoptent rapidement cette technique pour contourner l’authentification à double facteurs. En effet, le code contenant cette fonctionnalité sera probablement bientôt vendu ou partagé sur le darknet, si cela n’est pas déjà le cas. Les cybercriminels n’auront alors qu’à effectuer quelques étapes supplémentaires pour créer et propager de nouvelles attaques à l’aide de cette technique. 

Pour se protéger contre ce type d’attaques, les internautes peuvent utiliser des clés hardware, telle que Yubikey. En outre, ils doivent installer un antivirus sur tous leurs appareils connectés pour repérer et bloquer les sites de phishing. En effet, ces derniers sont extrêmement bien conçus, ce qui augmente le risque qu’un internaute soit dupé, aussi vigilant soit-il. Ainsi, Avast Antivirus utilise l’intelligence artificielle pour détecter les sites de phishing, vérifier la réputation et la date de création des domaines et des URL ; enfin, l’IA examine en détails les pixels de la page afin de repérer toute anomalie. »

Moralité : restez en permanence informé, sur les nouvelles techniques de sécurité en ligne, sur les avancées des pirates, sur les manières de pouvoir protéger vos données. Et pour ce qui relève de l’ultra confidentiel… abandonnez l’ordinateur !

Crédit photos : DR
[cc] Breizh-info.com, 2018, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine

 

Cet article vous a plu, intrigué, ou révolté ?

PARTAGEZ L'ARTICLE POUR SOUTENIR BREIZH INFO

Les commentaires sont fermés.

ARTICLES EN LIEN OU SIMILAIRES

Crypto, Economie, Informatique, Technologies

Organiser son arsenal de défense face aux cyberattaques de plus en plus sophistiquées

Découvrir l'article

Sociétal

JO 2024 et Tiers Monde : Paris se prépare à un pic de délinquance pendant les Jeux

Découvrir l'article

Sociétal

Spams, Phishing… Comment éviter les arnaques en ligne ?

Découvrir l'article

A La Une, Ensauvagement, Informatique, Social, Sociétal

CAF. Les comptes de 600 000 allocataires ont-ils été piratés ?

Découvrir l'article

A La Une, Sociétal, Technologies

Arnaque au QR code : ne flashez pas n’importe quoi !

Découvrir l'article

Economie, Informatique, Sociétal, Technologies

Breizh Cyber. Le Conseil régional lance un « SAMU numérique » face aux cyberattaques

Découvrir l'article

Ensauvagement, Informatique, RENNES, Technologies

Betton (35). Les données personnelles de 5 000 habitants diffusées après une cyberattaque dévastatrice

Découvrir l'article

Ensauvagement, Social, Sociétal, Technologies

FranceConnect. Failles de sécurité et tentatives d’arnaques : une tiers-mondisation de l’État y compris en ligne ?

Découvrir l'article

Economie

Quels sont les différents types d’attaques par hameçonnage ?

Découvrir l'article

Economie, Informatique

La BCE va tester la résistance des banques de la zone euro face aux cyberattaques

Découvrir l'article

PARTICIPEZ AU COMBAT POUR LA RÉINFORMATION !

Faites un don et soutenez la diversité journalistique.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur Breizh Info. Si vous continuez à utiliser le site, nous supposerons que vous êtes d'accord.

Clicky