Posté le octobre 12, 2019 à 19:51
UN NOUVEL AVERTISSEMENT DU FBI AFFIRME QUE LES HACKERS PEUVENT CONTOURNER L’AUTHENTIFICATION À DOUBLE FACTEUR
Les hackers piratant des comptes dans le but de voler de l’argent, des données ou d’accéder à des plateformes entières n’ont rien de nouveau, et les chercheurs en sécurité sont en guerre avec eux depuis des siècles. L’une des mesures les plus efficaces pour empêcher les hackers a été de mettre en place une mesure de sécurité à double authentification, communément appelée authentification à deux facteurs (2FA).
Cependant, selon le nouvel avertissement émis par le Federal Bureau of Investigation (FBI), tous les types de sécurité 2FA ne sont pas efficaces ces jours-ci. L’avertissement n’a été transmis aux entreprises américaines que récemment, par le biais d’une note d’information qui circule depuis le mois dernier.
La note d’information affirme que le FBI a réussi à identifier plusieurs méthodes utilisées par les cybercriminels pour contourner 2FA et obtenir des codes d’accès uniques qui sont envoyés aux utilisateurs lorsqu’ils tentent d’accéder à leurs comptes.
Comment les hackers contournent-ils l’authentification à deux facteurs?
Comme nous l’avons mentionné, l’avertissement comprend plusieurs méthodes que les hackers sont connus pour surmonter les mesures de sécurité supplémentaires, dont la plus populaire et la plus simple est le SIM swap ou fraude par échange de cartes SIM. Cette méthode repose sur le fait que l’attaquant convainc ou corrompt un employé des réseaux mobiles de transmettre un numéro de mobile de sa cible, ce qui permet au hacker de recevoir les codes de sécurité envoyés par les sites et services.
Ces cas sont devenus assez courants au cours des dernières années et ils ont été utilisés dans de nombreux cas, généralement pour voler de l’argent sur des comptes bancaires, des comptes de cryptomonnaies, des comptes d’échange, des comptes Exchange, PayPal et d’autres services similaires. Habituellement, les victimes ne réalisent même pas qu’elles ont été volées pendant assez longtemps et qu’elles ne peuvent pratiquement rien faire pour empêcher cela.
Une autre méthode utilisée régulièrement est l’hameçonnage, qui incite les victimes à révéler leurs identifiants de connexion, ainsi que leur code OTP, en créant un faux site Web. Dès que la victime tente de se connecter à son compte sur le faux site Web, le hacker rassemble ses informations de connexion et les utilise sur le vrai site. L’exemple le plus récent de ce phénomène a été remarqué il y a à peine un mois. Il s’agissait d’une attaque contre des utilisateurs de YouTube, dont beaucoup avaient activé le 2FA.
Il existe également une autre méthode, bien que celle-ci soit un peu plus avancée et repose sur le détournement de session. Cela signifie que, malgré le fait que le site Web auquel l’utilisateur tente de se connecter est le vrai, les hackers parviennent toujours à voler les informations d’identification quand ils naviguent entre l’appareil de l’utilisateur et le site Web. Bien sûr, cette méthode ne fournit qu’une petite ouverture, mais on sait que des hackers expérimentés l’ont utilisée.
Ensuite, il y a régulièrement des failles de sécurité sur les sites Web eux-mêmes, qui permettent souvent aux hackers de s’infiltrer sans se soucier de la 2FA. Un de ces cas a été signalé plus tôt en 2019, lorsqu’une faille de sécurité sur un site d’une certaine banque a permis à des hackers d’accéder aux comptes des utilisateurs sans avoir à répondre à des questions de sécurité, de PIN ou autres méthodes de sécurité. Les hackers ont simplement utilisé l’hameçonnage pour obtenir les informations d’identification des utilisateurs, ensuite ils ont directement accédé à leurs comptes.
La 2FA est toujours une mesure de sécurité valide
Malgré le fait que la 2FA est généralement considéré comme une mesure de sécurité forte et utile, les entreprises n’ont probablement pas eu besoin du FBI pour le leur dire qu’aucune méthode n’est sûre à 100%. Cependant, malgré toutes les méthodes utilisées par les hackers, et malgré tous les cas mentionnés et enregistrés de piratage contournant la 2FA – cette méthode fonctionne toujours la plupart du temps.
En d’autres termes, bien que lq 2FA ne soit clairement pas à 100% à l’abri des hackers, il est toujours préférable de le mettre en place plutôt que de simplement compter sur des informations de connexion pour protéger son compte.
Bien que le fait que l’avertissement ait été émis soit finalement considéré comme une bonne et nécessaire étape, la question importante qui se pose est de savoir comment cela pourrait inciter les utilisateurs à se protéger. Les attaques de piratage fonctionnent encore assez souvent car beaucoup de gens n’utilisent pas du tout la 2FA. Ceux qui le font peuvent se faire pirater, comme mentionné, mais de tels cas sont une rareté comparés aux piratages contre ceux qui n’utilisent pas la double authentification.
Avec de tels rapports, ces personnes pourraient être davantage découragées d’activer une sécurité supplémentaire, ce qui les rend encore plus vulnérables aux attaques potentielles. En attendant, les développeurs proposent des mesures de sécurité plus avancées avec lesquelles les utilisateurs pourraient se protéger, y compris des jetons matériels FIDO2, ou WebAuthn, qui permettent aux appareils de s’authentifier automatiquement.