Jusqu’à présent, l’authentification à deux facteurs était une barrière plutôt efficace contre le phishing. L’idée est simple : même si un pirate récupère vos identifiants, il ne peut pas se connecter sans ce fameux code supplémentaire (envoyé par SMS ou via une application).
Un phishing plus malin que jamais
Sauf qu’Astaroth déjoue ce système grâce à une technique de proxy inversé de type « evilginx ». En clair, lorsqu’une victime clique sur un lien piégé, elle est redirigée vers un faux site qui a tout l’air d’être l’original (Gmail, Microsoft, Yahoo, etc.). Ce faux site joue le rôle d’intermédiaire entre la victime et le vrai service. L’utilisateur entre ses identifiants et, au lieu d’être simplement stockés comme dans un phishing classique, ils sont transmis en direct au vrai site.
Et c’est là que réside la force d’Astaroth : dès que l’utilisateur entre son code 2FA, le pirate le récupère instantanément. En quelques secondes, il peut se connecter au compte ciblé, comme s’il était son propriétaire.
Tout commence par un simple lien malveillant. Une fois qu’elle a cliqué, la victime atterrit sur une copie parfaite du site qu’elle cherche à consulter. Aucun signe suspect : l’URL semble normale, le cadenas de sécurité est bien présent grâce à un certificat SSL, et l’interface est identique à l’originale.
Mais dès que l’utilisateur saisit ses identifiants et son code 2FA, Astaroth capture toutes ces informations. Le pirate peut alors les injecter dans son propre navigateur et accéder au compte, sans que la victime ne se doute de rien.
Astaroth est commercialisé sur les forums de cybercriminalité pour environ 2.000 dollars. Le kit inclut six mois de mises à jour et un accès à de nouvelles techniques d’attaque. En bonus, les pirates peuvent tester le service avant d’acheter, histoire de s’assurer de son efficacité.
Le succès du kit repose aussi sur son hébergement. Il est souvent stocké sur des serveurs situés dans des pays peu coopératifs avec les autorités occidentales, compliquant son interdiction. Pour les forces de l’ordre, la bataille est rude : Astaroth est principalement distribué via Telegram et sur le marché noir, des plateformes où l’anonymat complique les enquêtes.
Face à ce genre de menace, il est crucial d’adopter quelques réflexes : ne cliquez jamais sur un lien suspect reçu par mail ou SMS. Activez l’authentification à deux facteurs, mais surtout sur une clé physique (comme YubiKey) plutôt qu’avec un code à usage unique. Vérifiez toujours l’URL du site sur lequel vous entrez vos identifiants. Et utilisez un gestionnaire de mots de passe, qui pourra détecter les faux sites.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
