in ,

Cybersécurité : la double authentification n’est plus sûre

Cybersécurité, la double authentification ne suffit plus pour se protéger contre les hackeurs, et la biométrie, alliée à l’Intelligence Artificielle, semblerait être une réponse prometteuse et efficace.

Cybersécurité : la double authentification n’est plus sûre
Cybersécurité : la double authentification n’est plus sûre

Cybersécurité : la double authentification n’est plus sûre. Les bonnes pratiques actuelles en matière de sécurité en ligne incluent toujours la double authentification pour la protection des comptes en ligne des intrusions indésirables.

En permettant de s’assurer de l’identité de l’utilisateur d’une façon plus sûre, cette méthode d’authentification forte fournit une autre couche de sécurité supplémentaire et permet ainsi de réduire considérablement le risque de fraude. Recommandée par les experts, elle est particulièrement efficace contre les attaques par force brute ou encore les vols de mots de passe. Mais ça, c’était surtout avant !

Aujourd’hui, il se trouve en effet que la double authentification n’est plus infaillible. Pour certains experts en cybersécurité, elle pourrait même être une option déjà dépassée. Pour preuve, de nombreux cas de cyberattaques qui ont réussi l’exploit de contourner l’authentification à deux facteurs auraient été dénombrés ces dernières. Mais comment les pirates informatiques s’y prennent-ils ?

La double authentification ne semble plus donner toutes les garantie

Dans cet article, nous allons voir tout ce qu’il y a à savoir sur cette méthode d’authentification. Qu’est-ce que la double authentification ? Et surtout, comment les groupes de hackers font pour la contourner ?

Des hackers déjouent la protection à double authentification

Nombreux sont les cas de cyberattaque qui ont réussi à pirater des comptes pourtant protégés par la double authentification, mais un en particulier a fortement retenu toutes les attentions. Il s’agit de l’attaque conduit par le groupe de hackers APT20 en décembre 2019.

L’affaire remonte donc d’il y a déjà plusieurs années. Un groupe de hackers du nom de APT20 ayant des liens présumés avec le gouvernement chinois a été accusé d’avoir piraté des réseaux dans le monde entier, mais dans une rare tournure, il aurait contourné l’authentification à deux facteurs dans le processus. Il s’agit d’un exploit, surtout pour l’époque ! Avant cet incident, les experts du monde entier croyaient dur comme fer que la double authentification était un système d’authentification inviolable.

Le groupe APT20 a ciblé à l’époque des entités gouvernementales et plusieurs revendeurs de services dans des domaines divers comme l’aviation, la construction, les jeux d’argent, la santé, la finance, ou encore l’assurance.

Pour accéder aux réseaux de ses victimes, qui sont pourtant protégés par des systèmes de sécurité tels que la protection à double authentification, les pirates informatiques se seraient servis d’un jeton logiciel RSA SecurID volé à partir d’un système piraté. Ils auraient ensuite modifié la clé pour qu’elle fonctionne sur différents systèmes.

Plus récemment, des membres du groupe de hackers Lapsus$ ou encore Nobelium, connu du grand public en 2020 pour le piratage massif de SolarWinds, auraient également réussi l’exploit de contourner les mesures de sécurité imposées par la double authentification.

Enfin, sachez qu’en décembre 2021, le site le Journal Du Geek a signalé dans un article 1200 versions différentes de boîtes à outils mis à disposition sur le dark web, chacune capable de contourner la double authentification.

A2F, Qu’est-ce que l’authentification à deux facteurs ?

La double authentification, l’authentification à deux facteurs (A2F) ou encore la vérification en deux étapes est une méthode d’authentification forte qui vérifie l’identité des utilisateurs avec deux formes d’identification différentes lorsqu’ils souhaitent accéder à une ressource informatique. La ressource en question peut être un ordinateur, un téléphone intelligent, une application web, un compte en ligne professionnel ou encore un site web.

Le plus souvent ces formes d’identification sont la connaissance d’une adresse e-mail, la preuve de propriété d’un téléphone mobile avec l’envoi d’un mot de passe à usage unique sur un numéro mobile.

Utilisé en plus de la vérification habituelle du nom d’utilisateur/mot de passe, A2F est censé renforcer la sécurité en rendant plus difficile pour les intrus d’obtenir un accès non autorisé.

Si par exemple un pirate a réussi à deviner le nom d’utilisateur et le mot de passe d’un comte à l’aide d’une attaque par force brute, avec l’authentification à deux facteurs en place et activée, il lui faudra encore connaître le code à usage unique envoyé par mail ou par sms au numéro de téléphone du vrai utilisateur.

En savoir plus sur la double authentification par sms avec l’entreprise Clever Technologies

Comment les hackers contournent la double authentification ?

Bien que chaque méthode 2FA offre une sécurité supplémentaire, chacune d’elle comporte aussi des vulnérabilités que les attaquants peuvent exploiter.

Voici les méthodes les plus courantes utilisées par les pirates informatiques pour contourner les mesures de sécurité mises en place par ce type d’authentification :

  • L’ingénierie sociale

En informatique, l’ingénierie sociale fait référence aux méthodes non techniques utilisées par les cybercriminels pour amener les victimes à prendre des décisions douteuses, impliquant souvent une violation de la sécurité, l’envoi d’argent ou la divulgation d’informations sensibles. Dans notre cas, l’information qui sera demandée par les cybercriminels sera généralement le code d’accès temporaire.

Pour que l’ingénierie sociale fonctionne, il est nécessaire que le pirate informatique connaisse déjà le nom d’utilisateur et son mot de passe. Après avoir tenté une connexion, il contacte ensuite sa victime et l’incite à lui remettre le code 2FA avec un récit convaincant. En utilisant un numéro de téléphone ou une adresse mail qui imite celle d’un professionnel, les attaquants peuvent facilement tromper la vigilance de leurs cibles en se faisant passer pour le service client.

L’autre technique d’ingénierie sociale qui fonctionne consiste pour l’attaquant à connaître suffisamment d’informations de base sur l’utilisateur et utiliser ces informations pour tromper le service client. Il va alors prétendre que le compte est verrouillé et demander au service client de débloquer le compte.

  • Abus des autorisations OAuth 2.0

OAuth 2.0 est un protocole d’autorisation qui facilite le processus de connexion sur et entre les sites Web, les applications en ligne et les applications mobiles ; il prend notamment en charge l’authentification unique (SSO) pour permettre une utilisation transparente des applications.

Le protocole OAuth 2.0 fournit aux applications un accès limité aux données d’un utilisateur sans divulguer le mot de passe. Par exemple, Il va vous permettre d’autoriser une application à publier sur votre compte Facebook, sans pour autant que vous n’ayez à fournir votre mot de passe Facebook.

Avec l’abus d’autorisations OAuth 2.0, aussi appelé phishing de consentement, le hacker conçoit une application OAuth qui sera perçue par le système comme légitime et enverra un message à la victime, lui demandant d’accorder l’accès.

Si jamais la victime venait à accorder l’accès à l’application, l’attaquant aura champ libre pour faire tout ce qu’il souhaite vu que l’accès qui lui a été accordé lui permettra d’ignorer certaines mesures de sécurité, comme celles imposées par la double authentification.

  • Vol de jetons générés à l’avance

Certains systèmes de génération de jetons d’authentification offrent la possibilité de générer des jetons à l’avance. Les jetons sont fournis dans un document renfermant un certain nombre de codes permettant à quiconque qui les utilisent d’accéder au compte. Si par malheur le document en question tombait entre les mains d’une personne malintentionnée et qu’en plus elle connait déjà le nom d’utilisateur et le mot de passe du compte qu’il souhaite pirater, rien ne l’empêchera plus d’y accéder.

  • Détournement de session ou détournement de cookies

Un cookie informatique est un court texte contenant des informations de l’utilisateur qui le maintien authentifié sur son activité de session. Ainsi, grâce aux cookies, lorsque les utilisateurs se connectent à leurs comptes professionnels ou personnels ou bien à des sites web, ces cookies leur permettent de ne pas à saisir tout le temps le mot de passe à chaque fois.

Seulement, les cookies de session peuvent être détournés par les attaquants. Quand cela se produit, les attaquants arrivent à prendre le contrôle de la session de l’utilisateur et pourront accéder à son compte sans passer par une vérification d’identifiant, et ce même dans le cas où la double authentification est activée.

  • L’Attaque de l’homme du milieu (Man-in-the-middle)

Le Man-in-the-middle (MITM) est un type courant d’attaque de cybersécurité qui permet aux attaquants d’écouter la communication entre deux cibles. L’attaque a lieu entre deux hôtes légitimement communicants, permettant à l’attaquant d’intercepter une conversation qu’il ne devrait normalement pas pouvoir écouter, d’où le nom « man-in-the-middle ».

Pour contourner la double authentification avec ce type de cyberattaque, les attaquants utilisent généralement des frameworks qui envoient un lien de phishing à l’utilisateur. Si ce dernier clique sur le lien, il sera redirigé vers une page de connexion piégée. Lorsque l’utilisateur se connecte à son compte, le framework capture ses identifiants de connexion et le code d’authentification.

Sachant qu’un code d’authentification expire en très peu de temps, l’attaquant ne pourra donc que l’utiliser une seule fois. Mais pour avoir un accès permanent au compte piraté, il lui suffira de détourner les cookies de session, ce qui nous ramène à la méthode de cyberattaque évoquée précédemment.

  • La méthode du SIM-jacking ou détournement de carte SIM

Le détournement de carte SIM se produit lorsqu’un acteur malveillant prend le contrôle du numéro de téléphone de sa cible essentiellement en trompant un opérateur ou en soudoyant quelqu’un qui y travaille.

Pour que le SIM-jacking fonctionne, il faut bien évidemment que le numéro en question soit associé au compte ciblé. Lors de la connexion, le pirate va intercepter l’OTP envoyé par SMS sur le numéro détourné et il pourra ensuite s’en servir pour accéder au compte.

Déjouer les cyberattaques, avec la Biométrie.

De nos jours, la question n’est plus de savoir si votre entreprise sera victime de pirates informatiques ou non, mais plus de bien se conforter qu’un jour elle le sera, c’est inéluctable et tous les experts sont sur la même longueur d’onde, il faut s’y préparer dès maintenant.

Car, les coupes budgétaires et les réductions drastiques des budgets des SSII, ont rendu les systèmes d’information, beaucoup plus vulnérables que précédemment, et c’est ce qui les expose et de plus en plus aux cyber-attaques, la pandémie du Covid-19, a laissé des traces.

Tous les experts vous parleront du premier niveau de protection, mais hélas cela ne suffit pas, cela ne suffit plus, les anti-virus, les pare-feu, les sondes anti-intrusion, font bien une partie du travail, mais ce n’est pas suffisant, car les pirates informatiques sont de plus en plus doués.

Mais ce qui ressort des forums des experts spécialisés, c’est que la solution pourrait venir de la technologie biométrique, qui intégrée à l’intelligence Artificielle et à l’apprentissage en continu, pourrait contrer en profondeur les attaques par usurpation d’identité.

Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

avocat spécialisé excès de vitesse à Marseille

Est ce que le permis blanc existe en France ?

MNGT FORMATION AVIS

Avis Formation MNGT : Ce qu’il faut savoir pour créer son agence de location de voiture Luxe