Depuis quelques années, de nombreux services ont mis en place un système, l’authentification à deux facteurs, pour lutter contre les cyberattaques. En plus du mot de passe demandé pour la connexion à une application contenant des données sensibles (santé, finance ou professionnelle) de plus en plus de logiciels demandent un deuxième code, envoyé au propriétaire du compte par un autre moyen (généralement par SMS ou par e-mail).
Cette protection est aujourd’hui si populaire qu’une étude du groupe Cisco menée en 2021 estimait que 80 % des internautes ont utilisé l’authentification à deux facteurs. Dans 85 % des cas, ce deuxième code arrivé par le biais d’un SMS, une solution facile à utiliser, mais qui présente de nombreuses failles de sécurité.
L’authentification à deux facteurs : pas infaillible
Si cette solution a longtemps permis de lutter contre les cyberattaques, en offrant une protection (presque) inviolable, voilà que les criminels de la toile ont trouvé un trou de souris dans lequel se faufiler. Ils utilisent notamment un robot alimenté par l’intelligence artificielle pour résoudre ce nouveau casse-tête.
Comme l’explique une équipe de chercheurs de l’entreprise Kaspersky, les cybercriminels ont réussi à outrepasser ce système, notamment en utilisant des méthodes de phishing. Autrement dit, les pirates manipulaient les utilisateurs pour que ces derniers donnent, de bonne foi, leur code d’authentification reçu par SMS. Une fois cet élément récupéré, il fallait juste craquer le mot de passe, une action qui ne prend généralement pas plus de trois secondes.
Comment tromper l’utilisateur ?
Pour récupérer le code reçu par SMS, les criminels s’attaquent au maillon le plus faible de la chaîne, l’humaine. Ils vont utiliser un robot pour appeler l’utilisateur. Ce dernier va devoir donner les codes reçus à une « personne de confiance ». Kaspersky explique que ces appels sont personnalisés en fonction des données personnelles récoltées sur la cible. Ils sont conçus au coup par coup par une intelligence artificielle pour les rendre le plus crédibles possible.
Pour arriver à leurs fins, les cybercriminels n’hésitent pas à utiliser plusieurs méthodes, bien souvent illégales. Ils se font ainsi passer pour des agences gouvernementales, votre banque ou encore une institution. Face à une personne disposant d’une autorité morale, l’utilisateur craque bien souvent, offrant le précieux sésame aux criminels. Ces derniers peuvent alors accéder au compte.
Le plus inquiétant dans cette affaire, ce sont les robots OPT, utilisés dans ces attaques. Ils sont disponibles à la pelle sur les forums de cybercriminels. Pour les mettre en fonctionnement et attaquer des centaines de personnes à la fois, il ne faut pas de grande compétence technique, simplement un manque d’éthique et d’empathie pour ses victimes.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Une seule règle à retenir, pourtant simple : Ne jamais donner d’informations à personne, car personne n’a besoin de ces informations en dehors des hackeurs
Si tu retiens cette règle, t’es tranquille
Titre racoleur puisque l’IA ne casse rien, c’est encore une fois l’interface clavier/chaise qui est le maillon faible et visée par cette IA, la double authentification n’est pas remis en cause.
@elminster44 “Titre racoleur”: non pas de ça chez JdG, c’est vraiment pas le style de la maison !! 😁
Comme dit alfa , il ne faut jamais donner des infos au téléphones , mail ou sms . Et chaque entité gouvernementale, banque et autres ne vous demandera vos informations de connexions au téléphone. Je comprend que sa peut faire peur mais si on pense à la règle qu’aucune organisation officiel ne vous demandera vos infos de connexion sa se passe bien .
Quoi qu’il en soit sur le maillon faible entre la chaise et le clavier, qu’en est-il des clés physiques le courcirquitant et de l’universalité/transparence de services rendus. Cela serait un article intéressant.