On se croyait à l’abri derrière une authentification à deux facteurs, acceptant cette lourdeur supplémentaire au nom d’une sécurité renforcée. Il semble bien que l’on se trompait, l’authentification à deux facteurs étant potentiellement détournée de manière assez aisée. C’est ce que montre Amnesty International, qui recense près d’un millier de cas de piratage de comptes Gmail et Yahoo même protégés par la 2FA.

On savait déjà qu’il était possible de détourner ce procédé, mais les moyens impliqués rendaient l’opération coûteuse et réservée à des services disposants de moyens, comme les services secrets ou de police. Ainsi, la police allemande avait-elle réussi à pirater des comptes d’une personne soupçonnée de terrorisme, en installant un relais cellulaire à proximité de la localisation de la personne, qui interceptait le SMS ou le message de validation 2FA, avant de le transmettre à celle-ci (après avoir pénétré le compte évidemment).

Mais cette fois, les cas de piratage recensé par Amnesty ne nécessitent pas d’installer un relais cellulaire. « Pour ce faire, ils automatisent l’ensemble du processus. Une page de phishing demande non seulement à la victime son mot de passe, mais déclenche un code 2FA qui est envoyé au téléphone de la cible. Ce code est également sniffé, puis entré sur le site légitime afin que le pirate informatique puisse se connecter et voler le compte », note Motherboard. En clair, les pirates obtiennent les informations initiales par un phishing (qui peut être général ou, au contraire, très ciblé), et le même phishing sert à récupérer le code d’authentification à deux facteurs, qui doit être entré sur la page trafiquée.

L’authentification deux facteurs recoupe plusieurs réalités. Elle peut n’être qu’un simple code envoyé vers un téléphone enregistré, être envoyée sous forme de notification par un logiciel installé sur la machine de référence, ou reposer sur l’installation d’un dispositif matériel, type clef USB de sécurité. Dans ce dernier cas, des éléments additionnels sont parfois ajoutés à la notification, comme la localisation de la demande (c’est le cas avec le 2FA Apple qui donne l’endroit d’où a été effectuée la requête 2FA). La méthode observée par Amnesty fonctionne avec les deux premiers cas q’authentification, tandis que l’authentification matérielle demeure inviolable.

Les cas recensés par l’organisation non gouvernementale semblent souvent émaner de pays du golfe, notamment des Émirats Arabes Unis, et viser des opposants ou de suspectés opposants politiques. La sécurité rime souvent avec la liberté, il demeure essentiel de bien en comprendre les enjeux.

1 COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.