Passer au contenu

Les hackers ont trouvé l’astuce pour contourner l’authentification à deux facteurs

L’authentification à deux facteurs met des bâtons dans les roues des cybercriminels. Malheureusement, les pirates ont trouvé le moyen de contourner le mécanisme de sécurité en obtenant le code de sécurité envoyé à l’utilisateur. Pour arriver à leurs fins, ils utilisent un robot OTP animé par l’IA. Explications.

Ces dernières années, l’authentification à deux facteurs s’est largement imposée sur les plateformes en ligne. Ce mécanisme de sécurité consiste à ajouter un second facteur d’authentification pour accéder à vos comptes. En plus du traditionnel mot de passe, vous devrez fournir un code délivré par SMS, par mail ou encore par le biais d’une application telle que Google Authenticator. Le mécanisme protège votre compte même si votre mot de passe a été compromis.

Cette couche de protection supplémentaire a été adoptée par de nombreux internautes. Une étude de Cisco réalisée en 2021 indique que près de 80 % des utilisateurs se servent de l’authentification double facteurs pour se protéger des cyberattaques. Sans surprise, l’authentification est le plus souvent configurée pour les comptes jugés les plus sensibles, comme les comptes bancaires. Dans 85 % des cas, les usagers choisissent de recevoir un code par SMS. Pour Cisco, l’authentification à deux facteurs est une protection efficace contre « les menaces courantes ».

À lire aussi : Pourquoi une vague de fuites de données menace de s’abattre sur le web

Le point de départ : des données compromises

Malheureusement, les cybercriminels ont trouvé le moyen de contourner l’authentification à deux facteurs. Comme le révèle une enquête de Kaspersky, les pirates ont progressivement développé des tactiques de phishing pour outrepasser ce « standard en matière de sécurité en ligne ». En clair, les escrocs ont imaginé « des méthodes pour inciter les utilisateurs à révéler » le code d’authentification généralement délivré par SMS. Avec ce code et les identifiants compromis en amont, les pirates peuvent accéder au compte.

Dans un premier temps, les attaquants vont donc s’emparer de vos identifiants. Les pirates peuvent piocher dans une base de données divulguées sur la toile. Notez que les experts ont d’ailleurs constaté une explosion des fuites de données au cours des premiers mois de l’année. D’après une étude de Surfshark, le nombre de fuites de données a grimpé de 435 % dans le monde en l’espace d’un seul trimestre.

Ils peuvent aussi dérober eux-mêmes vos informations lors d’une attaque de phishing. Avec les données récupérées, ils vont tenter de se connecter au compte ciblé, ce qui va déclencher l’envoi d’un code de sécurité par SMS. L’utilisateur va recevoir un code qu’il n’a pas demandé par message.

Un robot convaincant pour piéger les utilisateurs

Pour obtenir ce précieux code, les cybercriminels vont se servir d’un robot OTP (One-Time Password). Celui-ci va appeler la victime sur le numéro de téléphone qui reçoit le code de connexion. Là encore, le numéro de téléphone a pu être obtenu au préalable par le biais d’une fuite de données. Le robot va se faire passer pour « un représentant d’une organisation de confiance », explique Kaspersky. Il va suivre un script rédigé à l’avance pour persuader la cible de communiquer le code de sécurité reçu sur son smartphone. Les pirates disposent d’un large éventail de scripts différents, personnalisés en fonction des besoins.

« Ce sont les appels sur lesquels les escrocs comptent, car les codes de vérification ne sont valables que pour une durée limitée. Et un message peut rester sans réponse pendant un certain temps », explique Kaspersky.

Pour endormir la vigilance des victimes, les robots peuvent imiter le « ton et le caractère urgent d’un appel légitime », « usurper l’identité de différentes organisations, fonctionner dans plusieurs langues et même choisir entre une voix masculine et une voix féminine ». Sans grande surprise, toutes les voix sont générées par l’intelligence artificielle générative. Les cybercriminels s’appuient en effet massivement sur l’IA pour améliorer leurs tactiques.

Parmi les entités dont l’identité peut être usurpée, on trouve les banques, les systèmes de paiement, les boutiques en ligne, les services cloud, les services de livraison, les plateformes d’échange de cryptomonnaies et les services de messagerie électronique. Cerise sur le gâteau, ils peuvent même usurper le numéro de téléphone d’une organisation. En apercevant un numéro officiel sur son smartphone, l’utilisateur est susceptible de tomber dans les filets tendus par les cybercriminels. D’après Kaspersky, le robot va alors transmettre le code au cybercriminel. Avec les identifiants et le code de sécurité, l’attaquant est en mesure de se connecter au compte visé.

On trouve de nombreux robots OTP sur des marchés criminels en ligne ou des canaux Telegram fréquentés par les hackers. Proposées par le biais d’un abonnement (à partir de 140 dollars par semaine), ces offres disposent souvent « d’un support technique 24 heures sur 24, 7 jours sur 7 ». Du reste, la configuration du robot, qui passe bien fréquemment par Telegram, est d’un jeu d’enfant. Il n’y a pas besoin d’être un expert en informatique ou de coder quoi ce soit pour programmer le robot.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Kaspersky


Florian Bayard
Votre opinion
  1. 1- Les attaquants s’emparent de nos identifiants en accédant aux bases de données divulguées sur la toile : identifiants complexes et spécifiques systématiquement REQUIS.
    2- Les attaquants tentent de s’emparer du code 2FA par le truchement d’un appel généré/géré par IA : pape ou président de la République, ne jamais partager nos données confidentielles : REQUIS.

    Si (1) et (2) respectés, probabilité de se faire arnaquer tend vers zéro.
    Si (1) et (2) pas respectés, probabilité de se faire arnaquer tend vers infini.
    C’est vous qui voyez.

      1. Exact 🙂 tend vers 0 ou tend vers 1, au-delà peut-être dans un ailleurs qui reste à définir. M’enfin, voyez l’idée.

    1. Sauf qu’on ne sait jamais si le mot de passe sera chiffré dans la base de données du site sur lequel on s’inscrit, c’est évident que ça devrait l’être mais on découvre parfois, lors de ces fuites de bases de données justement, que les mots de passe sont stockés en clair.

      Ceci dit je vous rejoins sur vos arguments quand on fait attention et qu’on suit vos recommendations on n’a pas grand chose à craindre.

      1. Je suis bien de votre avis. Nous, utilisateurs, avons notre part de responsabilité, mais les proprios des bases de données doivent assumer les leurs, ce qui n’est pas toujours le cas. Ainsi, faire gaffe est une condition nécessaire sans pour autant être suffisante.
        Un mot de passe serait-il unique et constitué de 64 caractères alpha-numériques + spéciaux que, non crypté dans une BDD éventrée, il ne vaudrait rien de plus qu’un “12345” ou qu’un “password” … Bien que vous l’ayez rappelé.

    2. Utilisation frauduleuse de la carte bancaire : la banque est obligée de vous rembourser, point barre !

    3. Si tout ça provient d’un rapport complet venant d’un BOTNET bien configuré et que le fraudeur accède au compte par l’entremise d’un fureteur tep que FraudFox (injecté avec l’empreinte digitale complète de la victime) EN PLUS
      d’y accéder par un SOCKS5 adéquatement localisé et verifié comme n’étant pas <>…

      LMAO bah votre 2FA…

      Vous pouvez aussi bien vous le foutre dans l’cul, mes amis.
      Le site web ou la banque en question n’y verra que du feu.

      🤣😌😏😉🤘🔥😈

    1. 1 être que l’on aime à l’infini 🙂 Autant pour moi. J’avais en tête une valeur butoir et l’infini m’est venu à l’esprit sans passer par la case raisonnement …

  2. ARTICLE PUTACLIC resultat l’a2f est infaillible

    dsl mais il hack rien du tout vous expliquer bien que c’est l’utilisateur qui donne sciemment le code de l’a2f

  3. Titre clairement mensonger qui laisse à croire que l’authentification à 2 facteurs n’est pas fiable.
    Depuis un certain temps maintenant ma banque me demande de m’identifier sur mon application mobile pour valider une opération effectuée sur mon PC.
    Ou alors elle m’envoie un code par SMS puis email (ou l’inverse, mais c’est un détail).
    Toutes ces mesures sont embêtante, pour rester poli et m’agacent fortement.
    La raison de la mise en place de ces mesures est évidemment le comportement des utilisateurs.
    Car, si les hackers parviennent à contourner le système, quelque qu’il soit, c’est presque toujours à cause de l’imprudence de certains utilisateurs.

  4. Si je reçois un appel qui me demande de communiquer mon OTP je vais immédiatement comprendre que quelqu’un essaie de compromettre mon compte, c’est la meilleure alarme que je puisse recevoir.

  5. Yves Remord, je suis d’accord avec votre post, mais pour moi, il manque quelque chose qui est devenu crucial à mes yeux ces dernières années :

    3 – Ne JAMAIS enregistrer ses mots de passe sur internet

    4- Les change régulièrement ( je sais c’est contraignant mais bon 🤷‍♂️)

    5- Utiliser un coffre-fort de mots de passe !!!

    Pour moi le 5 est devenu un pré-requis !!! Un seul mot de passe à retenir ( donc on peut y aller comme un cochon en terme de complexité ), et le reste est stocké bien à l’abri ^^

  6. “Ont trouvé une solution pour contourner la 2FA”
    La solution est de divulguer le code 2FA…. il es où le contournement là ? Le français c’est pas le fort des rédacteurs 01net…

  7. @Admin – Admin, Il me semble que vos 3 points supplémentaires de sécurisation sont frappés au coin du bon sens.
    Pour ma part je pondère leur importance, mais je peux avoir tort.
    – POINT (4) : fortement Conseillé mais pas Requis au sens impératif ;
    – POINT (3) : en partie discutable selon moi mais je sais que les avis sont partagés :
    — Les données utilisateur étant cryptées localement avant d’être uploadées sur une BDD en ligne me semble acceptable dans le principe même s’il s’agit de s’assurer de la viabilité du logiciel et/ou de l’extension. Une extension navigateur telle que ‘Bitwarden’ me semble viable, une telle que ‘LastPass’ beaucoup moins. C’est à chacun de se forger une opinion, va de soi. Pour les données hautement confidentielles, quasiment Requis je pense : Voir Point (5) ci-après.
    – POINT (5) : c’est davantage un moyen qu’une finalité, moyen pratique, incitatif pour créer, gérer, utiliser des mots de passe complexes et dignes de ce nom.
    — Quasiment Requis si l’on respecte le (3), fortement Conseillé même si l’on ne respecte pas le (3) : on peut envisager le côté pratique d’une BDD en ligne et la sauvegarde de ces données en local (coffre-fort numérique sur disque dur) : là aussi de nombreux logiciels existent.
    — Requis néanmoins pour les données hautement confidentielles lesquelles me semble-t-il ne devraient JAMAIS être enregistrées dans une BDD en ligne. Je pense aux données bancaires en particulier mais pas que.
    — Au final, un coffre-fort numérique sur notre disque dur au moins pour les données hautement confidentielles + (discutable) un coffre-fort numérique en ligne pour les données hors ‘Secret d’état de nuire’ si partagées. 🙂

    1. Pardon. J’oubliais ce qui me semble un point supplémentaire REQUIS : ne jamais opter pour l’inscription sur un site via un compte tiers tel que Google ou Facebook (pour peu évidement que l’on possède un tel compte) : il n’y a aucune raison hormis la facilité pour procéder ainsi : on créer plutôt un mot de passe complexe+unique, une adresse e-mail si possible réservée (par exemple utilisée, l’une pour les amis, l’une pour les inconnus (newsletters etc), l’une pour l’administration, l’une pour les institutions bancaires etc…), mais ne JAMAIS utiliser un compte tiers, JAMAIS !

Les commentaires sont fermés.