MarcoServices - informatique langon à votre domicile

La double authentification en danger !

Demandez votre devis gratuit en ligne
  • Le 10/07/2024

Quand l'authentification à double facteurs ne sert à rien

Édito : Nous vous conseillons souvent d'utiliser la double authentification sur vos comptes, comme pour les réseaux sociaux, connexion à une adresse courriel, un compte à risque. Les cybercriminels ont trouvés la solution pour contourner cette protection qui est pourtant efficace. Comment font-ils pour le contourner ? Comment protéger vos comptes ?


De nos jours, l’authentification à deux facteurs (ou 2FA), avec l’utilisation de mots de passe à usage unique, est souvent considérée comme une solution miracle contre le phishing, l’ingénierie sociale, le vol de comptes et d’autres fléaux informatiques. En demandant un mot de passe à usage unique lors de la connexion, le service concerné propose une couche de protection supplémentaire en matière de vérification de l’utilisateur.
Malheureusement, si ce code peut être généré dans une application spéciale directement sur l’appareil de l’utilisateur, peu de gens prennent la peine d’installer et de configurer une application d'authentification.
Par conséquent, les sites envoient généralement un code de vérification sous la forme d’un SMS, d’un email, d’une notification push, d’un message instantané.

Valide pour une durée limitée, ce code améliore considérablement la sécurité. Cependant, il ne s’agit pas d’une solution miracle : même avec la 2FA (double authentification), les comptes personnels restent vulnérables aux bots de mots de passe à usage unique, qui sont des logiciels automatisés incitant les utilisateurs à révéler leurs mots de passe à usage unique grâce à l’ingénierie sociale.

C'est quoi l'ingénierie sociale ? La réponse est dans notre formation en prévention et sensibilisation pour adultes.


Comment fonctionnent les robots de mots de passe à usage unique ?

Contrôlés soit par le biais d’un panneau de configuration dans un navigateur Internet, soit par le biais de Telegram, ces bots se font passer pour des organismes légitimes, comme des banques, afin d’inciter la victime à divulguer le mot de passe à usage unique qui lui est envoyé. Voici comment cela se passe :

  1. Après avoir obtenu les identifiants de connexion de la victime, y compris son mot de passe (voir ci-dessous pour plus de détails), l’escroc se connecte au compte de la victime et est invité à saisir un mot de passe à usage unique.

  2. La victime reçoit ce mot de passe à usage unique sur son téléphone.

  3. Le bot de mots de passe à usage unique appelle la victime et, à l’aide d’un script d’ingénierie sociale préenregistré, lui demande de saisir le code reçu.

  4. La victime, qui ne se méfie pas, saisit le code sur son téléphone pendant l’appel.

  5. Le code est transmis au bot Telegram du pirate informatique.

  6. L’escroc parvient à accéder au compte de la victime.

La fonctionnalité clé du bot de mots de passe à usage unique réside dans le fait d’appeler la victime, et la réussite de l’escroquerie dépend de la force de persuasion du bot : les mots de passe à usage unique ont une durée de vie limitée, si bien qu’il est beaucoup plus probable d’obtenir un code valide par le biais d’un appel téléphonique que par n’importe quel autre moyen. C’est la raison pour laquelle les bots de mots de passe à usage unique proposent de nombreuses options pour affiner les paramètres d’appel.

Exemple d'un robot de mots de passe à usage unique :

Les bots de mots de passe à usage unique représentant un véritable business, les escrocs commencent par acheter, au moyen de cryptomonnaies, un abonnement pouvant coûter l’équivalent de 300€ par semaine. Ensuite, ils transmettent au bot le nom, le numéro et les informations bancaires de la victime, puis ils choisissent l’organisme dont ils souhaitent usurper l’identité.

Pas rassurant, n'est-ce pas ?

Par souci de vraisemblance, les escrocs peuvent activer la fonctionnalité d’usurpation d’identité en définissant le numéro de téléphone à l’origine de l’appel, de sorte que celui-ci s’affiche sur le téléphone de la victime. Ils peuvent également personnaliser la langue et même la voix du bot. Toutes les voix étant générées par une IA, le bot de mots de passe à usage unique peut aussi bien « parler » anglais avec un accent indien qu’espagnol castillan. Si un appel est transféré vers la messagerie vocale, le bot sait comment raccrocher. De plus, afin de s’assurer que tout est correctement configuré, les escrocs peuvent vérifier les paramètres du bot de mots de passe à usage unique en appelant leur propre numéro test avant de lancer une attaque.

Étant donné que la victime doit croire à la légitimité de l’appel, avant de composer le numéro, certains bots de mots de passe à usage unique peuvent également envoyer un SMS avertissant la victime d’un appel imminent. Cette méthode permet de tromper la vigilance de la cible, puisqu’à première vue, il n’y a rien de suspect : vous êtes averti(e) par SMS d’un appel imminent de la part de votre « banque », et quelques minutes plus tard, elle vous appelle bel et bien ; il ne peut donc pas s’agir d’une arnaque. Pourtant, c’en est une.

Au cours d’un appel, en plus d’un mot de passe à usage unique, certains bots peuvent également demander à la victime d’autres données comme le numéro et la date d’expiration de sa carte bancaire, son code de sécurité ou son code PIN, sa date de naissance, des informations relatives à certains documents, etc.


Et si le robot n'était pas le seul coupable ?

Bien que les robots de mots de passe à usage unique constituent des outils efficaces pour contourner l’authentification 2FA, ils ne servent absolument à rien sans les données personnelles de la victime. Pour pouvoir accéder à un compte, les pirates informatiques ont au moins besoin de l’identifiant, du numéro de téléphone et du mot de passe de la victime. Cependant, plus ils ont d’informations sur la cible (nom, prénom, date de naissance, adresse, adresse email, informations de carte bancaire), mieux ils se portent. Ces données peuvent être obtenues de plusieurs manières :

Le Dark Web

Les pirates informatiques mettent régulièrement en vente des bases de données sur le Dark Web, ce qui permet aux escrocs d’acheter des identifiants de connexion, y compris des mots de passe, des numéros de carte bancaire et d’autres données. Si ces données ne sont pas toujours très récentes, malheureusement, la plupart des utilisateurs conservent le même mot de passe pendant plusieurs années, et certaines informations restent pertinentes pendant encore plus longtemps. Par exemple, Kaspersky Plus vous informe rapidement de toute violation des données impliquant votre adresse email, tandis que Kaspersky Password Manager vous signale les incidents liés à la compromission de vos mots de passe.

Avec une attaque d'hameçonnage

L’avantage de cette méthode, comparée aux autres, est indéniable : les données de la victime sont forcément récentes, car le phishing peut avoir lieu en temps réel.

Les kits de phishing sont des outils qui permettent aux escrocs de créer automatiquement de faux sites Internet convaincants afin de récolter des données personnelles. Ils permettent aux cybercriminels de gagner du temps et de collecter toutes les informations utilisateurs nécessaires au cours d’une attaque unique ; et, dans ce cas, les bots de mots de passe à usage unique ne deviennent alors qu’un élément de l’attaque de phishing.

Par exemple, une attaque de phishing à plusieurs niveaux peut se dérouler comme suit : la victime reçoit un message provenant d’une banque, d’un magasin ou d’un autre organisme, qui l’invite à mettre à jour les données de son compte personnel. Un lien de hameçonnage est joint à ce message. Alors qu’elle atterrit sur un site quasiment identique à l’original, la victime saisit en toute logique ses identifiants de connexion, qui lui sont alors volés par les opérateurs de l’attaque de phishing. Les identifiants sont ensuite immédiatement utilisés par les pirates informatiques pour se connecter au vrai compte de la victime.

Si le compte est protégé par l’authentification 2FA, les escrocs envoient au panneau de configuration du kit de phishing une commande permettant d’afficher sur le site de phishing une page de saisie d’un mot de passe à usage unique. Lorsque la victime saisit le code, les opérateurs de l’attaque de phishing obtiennent un accès complet au vrai compte, ce qui leur permet, par exemple, de vider ses comptes bancaires.

Comment protéger vos comptes


- Suivre une formation pour comprendre le fonctionnement (cela prendra 2h, vous bénéficiez d'un abattement fiscal de 50%)

  • - Installez une solution de sécurité fiable et lancez des analyses, pas le tout d'avoir un antivirus !


  • - Si vous recevez subitement un mot de passe à usage unique, méfiez-vous. Quelqu’un essaie peut-être de vous pirater.


  • - Creéz des mots de passe forts et uniques pour chaque compte et pour éviter les maux de tête utilisez un gestionnaire de mots de passe sécurisé !

- Ne partagez jamais vos mots de passe à usage unique avec qui que ce soit et ne les saisissez jamais sur le clavier de votre téléphone pendant un appel. N’oubliez pas que les employés légitimes de banques, de magasins ou de services, ou même les agents des forces de l’ordre, ne vous demanderont jamais vos mots de passe à usage unique.


Tags

Suppression virus et actes de cybermalveillance Antivirus Kaspersky Sensibilisation internet Cours informatique langon