Passer au contenu

Les hackers arrivent même à contourner l’authentification à deux facteurs

Les hackers sont de plus en plus performants, et même l’authentification à deux facteurs ne les inquiète plus.

Afin de lutter contre les cyberattaques en tout genre, les utilisateurs sont priés de mettre en place la 2FA, aussi appelée authentification à deux facteurs. Cette dernière doit permettre de rajouter une nouvelle couche de sécurité sur nos données les plus sensibles et de nombreuses entreprises numériques proposent déjà cette solution.

Aujourd’hui les applications bancaires, mais également les réseaux sociaux ou même Gmail proposent à leurs utilisateurs d’avoir recours à la double authentification. Pour beaucoup elle est présentée comme la solution miracle qui réduit les risques de cyberattaques à néant. Une vision peut être un peu trop optimiste de la situation.

Concrètement l’authentification à deux facteurs oblige l’utilisateur à rentrer son mot de passe (premier facteur), mais aussi un code qui peut avoir été reçu par mail ou plus généralement par SMS (deuxième facteur). La combinaison des deux doit permettre d’être certain que la personne qui se connecte à un compte est bien celle à qui le compte appartient et pas une personne tierce, aux idées malveillantes.

La 2FA : une option déjà dépassée

Car dans la réalité, cette fonctionnalité pourrait déjà être dépassée. En effet, de plus en plus de cybercriminels arrivent à passer outre cette solution de protection des données, et ils s’inflitrent facilement dans nos comptes pour dérober tout ce qui peut y avoir une quelconque valeur.

Selon une étude réalisée par des chercheurs de l’université de Stony Brook, des solutions de phishing plus complexes existent déjà pour contourner les problèmes posés par la double authentification aux hackers.

Les chercheurs parlent d’une « boîte à outils ». Cette dernière aurait été conçue par des hackers et serait depuis en vente sur plusieurs sites populaires du dark web, se propageant sur la toile comme une traînée de poudre.

Une « boîte à outils » qui fait des ravages

Selon l’étude 1200 versions différentes de ces boîtes à outils existent sur le dark web, et toutes ont leur petite spécificité. Certaines permettent de se concentrer sur les codes reçus par SMS, qui sont les plus simples à intercepter, surtout quand les criminels ont déjà le numéro de téléphone de la victime en leur possession.

Si l’authentification à deux facteurs est aujourd’hui toujours la solution la plus sûre qui soit, ces boîtes à outils montrent bien qu’aucune défense ne résistera éternellement face aux assauts des hackers et autres cybercriminels, prêts à tout ou presque pour mettre la main sur nos données personnelles.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

17 commentaires
  1. Le SMS a toujours été le pojnt faible. Ce n’est pas pour rien que les achats via CB par internet ne se basent plus sur l’envoi d’un SMS, facilement interceptable, mais via une validation du paiement avec l’application de la banque émettrice de la carte.

  2. L’article est inutile en l’état. Il ne parle que du second facteur par SMS ou email qui sont deux méthodes à éviter depuis déjà quelque temps au profit des token physiques ou applications permettant de fournir le 2nd facteur grâce à une clé personnelle.
    L’email ni le SMS n’ont jamais été des moyens sûr de partager de l’information, encore moins des secrets.
    De plus il n’est pas mentionné ce que comportent ces boîtes à outils donc impossible de se faire une idée des méthodes employées et donc de l’état de l’art.
    Pour rappel l’authentification multifacteur pour être efficace doit se baser sur 2 à 3 critères :
    – quelque chose que l’on connait (mot de passe en général)
    – + quelque-chose que l’on possède et qui n’est accessible que de soit (token physique, clé de chiffrement, …)
    – + éventuellement quelque-chose qui nous défini (emprunte biométrique, pattern d’utilisation d’un clavier, etc..)

    A ma connaissance et sauf preuve du contraire les hackers profitent uniquement aujourd’hui des mauvaises implémentations de l’authentification 2 facteurs.

  3. Une cle yubikey bon courage pour contourner ca 😂.
    Ca coute oeut etre 50 € mais c est fiable a 200 %, car sincèrement si un mec au fort accent russe ou chinois est installé a mon bureau a la maison j aurais un doute

  4. Le contournement du 2FA est très simple lors que on peut facilement mettre en place du phishing, des outils permettant de simuler le site internet cible et récupérer le cookie de connexion, et c’est fini. Ça fonctionne pour tout les type d’authentification (physique, biométrique etc). D’autre simule le moyen d’accès.
    Ce genre de techniques ne sont pas récentes (l’interception de SMS aussi).

  5. Enfin ça serait bien d’expliquer pourquoi les SMS ne sont pas une solution sûre pour l’envoi d’un code d’authentification.

    Je me suis longtemps posé la question, mais tant que l’on a un téléphone mobile basique la seule possibilité d’exporter les SMS c’est pas un envoi volontaire de la personne visée.

    Par contre sur smartphone… la c’est la fête :
    – un système d’exploitation pas à jour compromis par une application piratée
    – une application frauduleuse qui demande l’accès aux SMS (droit “Téléphone” sur Android) sous un faux prétexte légitime (backup, authentification, redirection vers un bracelet connecté, antivirus…).
    – une application qui demande à être enregistrée comme “lecteur d’écran”, où là même les applications de token ne résistent pas car un lecteur d’écran est conçu pour les personnes ayant un handicap (principalement visuel)
    – les applications qui peuvent se superposer n’importe où sur l’écran, remplaçant à le volée le formulaire de saisie
    – les applications de proxy anti-publicité ou VPN pirates qui peuvent falsifier les pages web pour intercepter le code lors de sa saisie sur la page d’un tiers (et là c’est très très dangereyx quelle que soit la méthode d’authentification !)
    – les applications qui redirigent les SMS vers un système d’exploitation tiers comme celle proposée par Windows 10 : un virus présent sur votre ordinateur a aloes aussi accès en quasi-direct aux SMS reçus sur votre téléphone, et vous permet d’y répondre depuis votre ordinateur : pratique mais plutôt risqué si votre ordinateur est infecté !

    En prime avoir le contrôle sur l’envoi de SMS (heureusement assez rare) permet à un pirate d’envoyer des SMS surtaxés à votre place : bonne chance pour vous faire rembourser après !!

  6. L’augmentation de la sécurité ni fera rien. Et faut arrêter avec la vérification en 2 étapes. Ça fait un baille que je suis à la vérification en 3 étapes.

    Le plus grand succès de hacker et + c’est d’être payé pour ”proteger” les données personnelles.

    Faut vraiment être nié pour ne pas savoir que n’importe quel mise à jour de sécurité et déjoué quasiment le jour même (l’information arrivant 3-4 jours plus tard sur le net)

    Par exemple : les banques. La veille du lancement de chaque mise à jour de sécurité ils arrive à ce faire piraté.
    Les GAFA ne font que ajouter des bugs.

    blague à part Xiaomi c’est un bunker auquel on peut mettre des codes et dessins pour tout et n’importe quoi

  7. Franchement, vous avez lu le papier publié ?

    Pour quelq’un qui a un doctorat en physique et qui s’occupe professionnellement de sécurité, le papier est peu clair et riche à v des cas très spécifiques (où de toute façon on est mal si l’on est dans ce cas.

    Vous avez repris l’article de Gizmido as qui déjà n’était pas très bon, et bios avez encore simplifié. Le téléphone arabe de la sécurité en souhaite sorte.

  8. De toute façon il faut changer son mdp sur chaque compte tous les mois , la double authentification ne sert à rien si le pirate à accès à votre messagerie ou mail et qui connaît le mdp pour certains comptes c’est foutu, encore on peut utiliser une application comme Google authentificator.
    De toute façon les sites de phishing ressemblent beaucoup à de vrai page officielle mais on peut deviner la supercherie, déjà en regardant l’adresse du site et on peut aussi repérer les éventuels erreurs d’orthographe,si une offre vous semble trop bonne ne cliquez surtout pas sur le lien allez avec votre navigateur sur le site officiel normalement les offres sont mise à l’avant.
    Même si on a un très bon logiciel antivirus le meilleur antivirus c’est nous!
    Aussi ne jamais répondre ou décrocher à des numéros que l’on ne connaît pas vaut mieux attendre qu’on reçoit un message du correspondant si cela était important si ce n’était pas important on reçoit pas de message donc dans la plupart des cas arnaque ou démarchage téléphonique
    Prendre bien le temps de lire le message si vous ne connaissez pas ce numéro et que cela vous semble byzarre.
    Ne cliquez pas sur un lien avant de l’avoir regardé,examiné en regardant le nom du site internet avec votre antivirus pour savoir si il est fiable ( cela ne veut rien dire ) du fait que certains site noté bon alors qu’ils sont plutôt mauvais, si il est noté dangereux ne surtout pas cliquer sur ce lien qui vous renverra sur un site Web malveillants.
    La meilleure arme contre toute ces attaques c’est nous
    Bonne soirée à tous!

  9. Merci aux commentateurs qui m’ont en appris plus que l’article lui!!
    Hmmm,va falloir bosser un peu plus vos articles les gars.

  10. Article putaclic rédigé par une personne peu au fait de la cybersécurité.

    Beaucoup de bons commentaires plus haut.

    Plusieurs remarques :

    1/ Une simple authentification 2FA est déjà énormément ennuyante pour un hackeur
    2/ Il ne faut pas croire ce qui vous disent que c’est magique, on clique là là et là et c’est terminé, aucunes protections ne tiens : ce n’est pas ça la cyber sécurité. Par contre, il faut avoir conscience qu’on a toujours qu’un niveau de sécurité relatif et que le risque zéro n’existe pas. Mais c’est suffisant dans 99,9% des cas si le niveau est adapté.
    3/ Contrairement à ce qui est indiqué, les éditeurs font du bon boulot pour patcher les vulnérabilité et une vulnérabilité patchée ne pose plus de problème de sécurité (il y a quelque cas spécifique ou l’éditeur s’y prends à plusieurs fois, mais ça reste de l’exceptionnel).
    4/ Les attaquants bougent, mais les défenseurs bougent aussi. Google force par exemple l’authentification 2FA, le monde bancaire est obligé de le faire également depuis septembre, il y a pénurie sur le marché de la sécurité car tout le monde se renforce et on va vers un monde plus sûr, contrairement à ce que je peux lire plus haut.
    5/ Les cibles attaquées le sont souvent sur leurs points faibles et pas sur leurs points forts. Donc il ne faut pas lire l’apparition de système de sécurité plus fort comme étant automatiquement dépassé le lendemain ou contournable, mais comme un déplacement des attaques sur d’autres terrains plus faibles.
    6/ Ce qui a été dis est très vrai : le premier acteur de votre sécurité, c’est vous même ; avec un peu de bon sens et d’observation, vous déjouerai la plupart des pièges facilement ! C’est un peu comme en traversant la route : si vous regardez jamais à droite et à gauche, un jour, ça tombe !

    Pour allez plus loin sur la sécurité dans les mobiles, je vous recommande cet excellent podcast qui vous montre que les applications sérieuses prennent en compte la sécurité lors de leurs conceptions : https://www.nolimitsecu.fr/ostorlab/

  11. Vous devez tous avoir moins de 40 ans… Il suffit juste de bien paramétrer son smartphone comme son ordinateur. Ayant commencé avec Windows 95… le secret est dans le paramétrage. Ça ne coute rien mais personne ne le fait ! Jamais d’antivirus depuis mes premiers pas au siècle dernier… et jamais eu de soucis , sauf pour les tester 🙂

  12. Bonjour à tous,

    Bonne et heureuse année à tous !

    Je souhaiterai mettre en place une A2F avec Google Authentificator sur mon propre site (Les utilisateurs de mon site devraient utiliser la A2F pour se connecter) mais je ne trouve aucune documentation pour ça.
    Quelqu’un pour m’aider SVP?

  13. bonjour suite au commentaire de zobie qui dit ne pas utiliser d’antivirus ?
    si toutefois il sait parfaitement les risques niveau sécurité ok .

    en aucun cas je juge cela chacun pense comme il veut .
    si vous êtes comme lui en pensant que un antivirus ne sert à rien !

    je vous prouve que parfois le faite de sans passer peut être une très mauvaise idée.

    étant hacker sans ne vanter car cela ne sert à rien des gens en savent bien plus que moi niveau sécurité .

    mais ici je donne juste un exemple de mise en garde. afin que chacun puisse se faire sa propre idée sûr cela.

    je vous propose donc de ne pas installer d’antivirus ou de désinstaller votre antivirus actuel.
    vous tiendrez une semaine deux semaines un mois.

    après cela vous serez infectée et vous ne vous en rendrez même pas compte. !

    le comble c’est que vous continuerez à croire que vous savez ce que vous faites
    alors même que vous serez contaminée ?

    et pourtant je ne remets pas en cause votre capacité à savoir ce que vous faites.

    même si l’antivirus n’est pas utile durant 99% de votre temps il se montrera nécessaire
    lorsqu’on essaiera de vous pirater.

    ce malheureux petit 1% est important et rien qu’à cause de cela vous ne pouvez plus dire que l’antivirus
    ne sert à rien.

    un exemple ? pas de soucis !

    jean est dans votre liste d’amis sur facebook. depuis pas mal de temps
    il s’y connaît bien en informatique.

    un beau jour vous lui demandez de l’aide car votre pc rame.

    il vous envoie donc le fameux programme de nettoyage adwcleaner .
    pour faire un scan du système et supprimer toutes les menaces détectées.

    vous le lancez vous faites le scan vous lui indiquez le rapport et il vous aide à retirer
    tous les problèmes.

    ça fonctionne c’est parfait. vous pouvez à présent supprimer adwcleaner.

    seulement à partir de maintenant vous ne le savez pas mais votre pc est infecté
    par un programme malveillant ?

    qui se lance à chaque démarrage de votre ordinateur.

    impossible ! c’était bien adwcleaner !
    il s’est ouvert et il fonctionnait ?

    en plus je l’ai supprimé après utilisation !

    jean ou la personne qui a piraté son compte en se faisant passer pour lui a en fait lié
    deux programmes en un.

    lors du clic sur adwcleaner un deuxième programme caché s’est lancé automatiquement en arrière plan.
    l’antivirus l’aurait vu vous non. cela donne les chose à voir d’une autre façon non ?

    les gens qui pense savoir parfaitement se qu’il font ne font bien rigolait . car même les expert font
    parfois de putain de connerie. niveau sécurité.

    aucun jugement de n’a par ici mais pensait autrement il en va de votre propre sécurité.
    sûr ceux très bonne journée à tout le monde .

  14. très bonne année à vous . je pense que la personne qui à fait l’article à encore beaucoup de chose
    à voir niveau sécurité. attention cela doit juste être vue comme de l’informations. en aucune façon pour du piratage

    vous être seule responsable de vos fait et geste ici. car la lois ne fait pas de cadeaux avec cela.

    comment les pirates font ! pour exécuter cette attaque de contournement de l’a2f ils utilise
    une combinaison de deux outils.

    MURAENA et NECROBROWSER

    MURAENA est un outil mandataire inverse. qui exécutera notre page d’hameçonnage par
    ingénierie sociale.

    les sites et la page web d’hameçonnage imiteront la page originale avec laquelle la victime interagira.
    une fois que la victime aura authentifié sa session.

    MURAENA transférera la session à NECROBROWSER qui permettra au pirate de prendre le contrôle
    de la session ou d’automatiser les prochaines étapes de l’attaque.

    comme MURAENA agit comme outil mandataire inverse.

    il n’y a aucune différence entre notre site malveillant et le site web original.

    exception faite de l’adresse URL.

    MURAENA peut être configuré pour utiliser des certificats SSL.

    obtenus par exemple par l’entremise de LETSENCRYPT. du point de vue de la victime l’expérience
    dans son ensemble semblera légitime.

    puisqu’elle donnera l’impression que la personne interagit avec la page officielle.

    la victime accomplira chacune des étapes du processus d’authentification normal
    y compris la vérification à deux facteurs.

    si la 2FA consiste en un code d’authentification unique envoyé par SMS.
    jeton matériel ou jeton logiciel.

    la victime l’entrera comme à l’habitude.

    ce pendant même les fonctionnalités de sécurité modernes comme les notification
    poussées envoyées sur un appareil mobile.

    ou la numérisation d’un code QR à l’écran seront contournées par cette attaque.

    l’utilisateur visite la page d’hameçonnage où la fonctionnalité SSL a été activée.
    l’outil mandataire inverse. MURAENA récupère la page légitime de la banque et en affiche une copie
    à la victime.

    la victime de cette fraude essaie alors de se connecter à cette page.

    et le site procède à l’authentification à deux facteurs.
    une fois que la victime a terminé le processus d’authentification l’outil mandataire inverse MURAENA

    transfère la session au pirate. ( NECROBROWSER )

    pour qu’il prenne le contrôle et retire l’accès à la victime.

    voilà pour la petite info. car quand l’on parle de sécurité encore faut t’il savoir de quoi l’on parle .

    bien sûr je pourrait parler de sécurité mise en place pour contrer cela .
    encore faut t’il que cela soit appliquait de façon correcte par les personnes en charge de la sécurité
    qui bien souvent pense que cela suffit. grave erreur de le penser alors que les attaques de ce genre
    sont bien connu de c’est personnes ?

    je pense que un certains manque de formation en sécurité au niveau des employé
    dans certaines banque doive être prise très au sérieux ici . je parle pas des équipe en charge de la sécurité
    informatique ici . bien sûr. mais bien du petit personnelles dont cela ne fait pas parti de leurs rôle .

    les banque font tout leurs possible pour protéger leurs clients
    mais les hacker les vrai se sont spécialiser depuis bien longtemps sûr les protection
    qui sont mise en place . malheureusement l’utilisateur reste le maillon faible .

    car pas toujours au courant des attaque utiliser contre eux .
    pour n’a par je pense que les employé en accord avec leurs employeurs
    devrait suivre une où deux formations en sécurité . voir faire intervenir dans le mois

    au seins de leurs entreprises des spécialise du sujet .
    sûr ceux bonne fin de journée à vous et au plaisir.

  15. Tout cela grâce à Vladimir, j’ai pu espionner l’iPhone de mon mari avec l’aide de Vladimirhacks sur Instagram depuis la France, pour voir comment il m’a trompé et m’a menti.

Les commentaires sont fermés.

Mode