Posté le mars 12, 2019 à 9:31

MÊME AVEC L’AUTHENTIFICATION À DOUBLE FACTEUR, ON N’EST TOUJOURS PAS EN SÉCURITÉ

Google a fait état de nouvelles découvertes sur les attaques par hameçonnage lors de la conférence RSA 2019 sur la cybersécurité à San Francisco. Les hackers avaient ajusté les emails d’hameçonnage pour réussir à contourner même les systèmes d’authentification à double facteurs (2FA).

Comment les hackers peuvent-ils contourner l’authentification à deux facteurs?

Nicolas Lidzborski, ingénieur principal en sécurité chez Gmail, a révélé que Google a enregistré un nombre croissant « d’attaques de phishing 2F ». Lidzborski a confirmé que l’authentification à deux facteurs était toujours préférable plutôt que de n’utiliser que un nom d’utilisateur et un mot de passe. I Il a averti que Google avait remarqué un nombre croissant d’attaques de hackers sur ce système 2F. Lors de son discours à la conférence RSA 2019, il a expliqué comment cela est possible.

Dans un système d’authentification à double facteurs, le système demande à l’utilisateur son mot de passe, puis envoie un code secret de courte durée. Ce code d’authentification existe uniquement sur le périphérique de l’utilisateur et disparaît après 30 secondes. Les hackers créent des courriels de phishing visant non seulement à voler le mot de passe habituel, mais également le code secret à usage unique.

Ils envoient des emails d’hameçonnage prétendant provenir d’un site Web légitime, mais contenant un lien menant à une fausse page de connexion. Les hackers fabriquent des «outils d’hameçonnage», des logiciels malveillants qui volent le mot de passe et le code unique de l’utilisateur pendant qu’il les soumet à la fausse page de connexion. Ensuite, les hackers attaquent le compte de l’utilisateur en 30 secondes, alors que le code d’authentification fonctionne toujours.

Ce n’est pas la première fois

Ce n’est pas la première fois que les entreprises de sécurité notent les attaques 2FA. En décembre 2018, Amnesty International a signalé une attaque réussie contre le système d’authentification à double facteur. Les hackers ont utilisé une attaque par hameçonnage automatisée qui a volé et utilisé le code d’authentification en 30 secondes. En janvier 2019, un expert en cybersécurité a partagé un outil pour rendre les pages d’hameçonnage 2FA accessibles à tous.

Les escroqueries d’échange de sims sont également un danger potentiel pour le 2FA. Le code d’authentification étant créé sur le smartphone de l’utilisateur, il peut être envoyé par SMS. L’hacker peut feindre d’être l’utilisateur et obtenir leur numéro de téléphone auprès de l’opérateur. M. Lidzborski a décrit ceci comme une faille où les gens pourraient transférer le numéro du fournisseur et obtenir le co2FA.

Google protège les comptes Gmail en désactivant les tentatives de connexion à partir de lieux géographiques inconnus de certains utilisateurs.  Ils avertissent également les utilisateurs de Gmail des e-mails d’hameçonnage et des faux liens que les hackers partagent par e-mail.

Clés de sécurité USB

Pour les utilisateurs professionnels, Lidzborski a recommandé les clés de sécurité USB comme mesure de sécurité contre les attaques d’hameçonnage 2FA. Ces clés de sécurité sont du matériel USB qui sert de code d’authentification unique. Pour accéder au compte utilisateur, vous devez connecter votre clé USB. Selon Lidzborski, les clés de sécurité USB permettent aux comptes d’être totalement protégés des techniques d’hameçonnage. En juillet 2018, Google a créé des clés de sécurité USB pour tout ses employés. Cependant, deux des clés de sécurité USB de Google coûtent 50 dollars.

M. Lidzborski a déclaré que la seule façon pour une entreprise d’être absolument à l’abri de l’hameçonnage est de passer aux clés de sécurité USB, de sorte que le gain est beaucoup plus important que les inconvéniences. Il a rappelé qu’auparavant, seuls les hackers les plus qualifiés, par exemple ceux qui sont sponsorisés par l’Etat, pouvaient violer les authentifications à deux facteurs. Mais maintenant que l’outil d’hameçonnage open-source est disponible, cela conduit à un boom des attaques d’hameçonnage 2FA que n’importe qui pourrait réaliser. Cela signifie que le danger est plus grand qu’avant. Google enregistre en moyenne 100 millions d’e-mails d’hameçonnage par jour.

Jigsaw, incubateur de Google, a même développé un quiz afin d’instruire des utilisateurs au sujet des attaques par hameçonnage. Lidzborski a rappelé que les emails d’hameçonnage prétendent habituellement être des sites Web légitimes tels que Google et qu’ils contiennent un lien pour une page fausse d’ouverture. Tout semble très convaincant, les utilisateurs devraient donc vérifier deux fois lorsqu’ils cliquent sur les liens dans leurs courriels.