L’authentification à deux facteurs contournable
L’authentification à deux facteurs (2FA) est un système de sécurité qui nécessite deux formes d’identification distinctes pour accéder à une ressource.
L’authentification à deux facteurs peut être utilisée pour renforcer la sécurité de vos comptes courriel, de vos téléphones mobiles ou même de la porte de votre maison. Cela exige deux types d’informations de l’utilisateur : un mot de passe ou un code PIN envoyé par message ou par le biais d’application tiers ou une empreinte digitale.
Ce qu’il faut aujourd’hui savoir est que ce système n’est pas infaillible, car oui, des pirates peuvent le contourner et accéder à vos ressources en utilisant une technique bien adéquate.
En effet, une équipe d’universitaires spécialisés en cybersécurité aurait trouvé sur internet plus de 1200 toolkits (boite à outils) d’hameçonnage permettant aux attaquants d’intercepter et de contourner les codes de sécurité à authentification à deux facteurs (2FA).
Il utiliserait la technique de MitM (Man-in-the-Middle) en utilisant l’outil du même nom : MitM phishing toolkits.
Pour résumé, les victimes qui s’authentifient sur un site d’hameçonnage MitM sont en fait connectées au site réel, mais puisque tout le trafic internet passe par le système de proxy inversé, l’attaquant a également une copie du cookie d’authentification, qu’il peut ensuite utiliser ou revendre sur le darkweb.
Revenons sur la partie “les victimes qui s’authentifient sur un site d’hameçonnage…”, car oui, là est le problème.
Il y a une éducation en sécurité informatique à faire auprès de toutes et de tous, car si, dès le départ, l’utilisateur reconnait le site d’hameçonnage, il ne se fera pas prendre.
Pour les plus expérimentés, il existe un outil appelé PHOCA qui permettrait de détecter si un site d’hameçonnage utilise un proxy inverse démontrant que celui-ci essaye de contourner le 2FA.
Voici une analyse faite par les chercheurs de Stony Brook University et de Palo Alto Networks présenté lors de la conférence ACM CCS 2021 :
À voir également : Apache log4j : une vulnérabilité extrêmement dangereuse