L’efficacité de la double authentification remise en cause
Messagerie E-mail

L’efficacité de la double authentification remise en cause

Si pour beaucoup d’entre nous, la double authentification est perçue comme étant un outil permettant de renforcer la sécurité d’un compte en ligne, son efficacité n’est pas pour autant  parfaite. Une attaque récente racontée par un spécialiste en sécurité informatique peut  le confirmer.

Pas si invulnérable que cela

Pour rester invulnérable face aux tentatives d’instruisons qui sont de plus en plus courantes actuellement, la double authentification fait partie des techniques les plus recommandées. Pourtant, l’efficacité de celle-ci reste limitée aux attaques les plus banales. Face aux actes malveillants  ciblés, perpétrés notamment par des hackers plus entreprenants et adroits, on ne peut pas s’y fier. De nombreuses entreprises de sécurité informatique en sont conscientes et appellent à un renforcement avec d’autres pratiques. C’est le cas de certfa Lab qui, dans un article daté du 13 décembre 2018, a parlé d’une campagne d’hameçonnage ayant atteint de nombreuses cibles. Celle-ci aurait été émise par des pirates travaillant pour le compte du gouvernement iranien.

De nombreux types d’utilisateurs déjà atteints

L’attaque qui a été rapportée par Certfa Lab a atteint plusieurs types de cibles, notamment des activistes, des représentants gouvernementaux et des journalistes. Elle aurait commencé par un spear phishing. Chaque cible avait ainsi reçu un mail frauduleux dans lequel il y avait une image et un lien piégé. L’image avertissait les pirates de l’ouverture du courriel et le lien permettait à ceux-ci de soutirer des informations concernant l’utilisateur, conduisant celui-ci vers une fausse page de connexion où il est encouragé à saisir son identifiant et son mot de passe. Et ces pirates avaient tout prévu, car ils savaient déjà comment fonctionnait un compte sécurisé par une double authentification / redirection de la cible par la fausse page pour lui faire croire qu’il faut saisir le code temporaire. Ce dernier sera, par la suite, utilisé par les hackers sur le vrai site. Heureusement, qu’il est possible de se mettre  à l’abri d’un tel manœuvre selon la société de sécurité.

Faut-il donc abandonner la double authentification ?

Cette question mérite d’être posée sachant que la double authentification n’est pas infaillible. Certfa Lab soutient que non. L’imperfection de cette technique ne doit pas constituer un frein à son adoption. En effet, ce n’est pas tout le monde qui est visé par une attaque ciblée et d’ampleur. Malgré cela, la société de sécurité souhaite le choix « du procédé le plus élevé possible ». De ce fait, les utilisateurs envisageant de négliger  la double authentification par SMS devraient se tourner vers une application dédiée de type Google Authentificator. Ils peuvent même aller jusqu’à opter pour l’utilisation d’une clé USB de sécurité U2F.

Certfa Lab a fourni aussi quelques recommandations supplémentaires bien connues par la plupart d’entre nous. C’est le cas, entre autres, de la vigilance face aux liens envoyés par mail, du choix du chiffrement des mails, de la vérification de page de connexion sur laquelle on se trouve, le non-stockage des données personnelles sur les comptes en ligne et l’utilisation du compte spécifique  pour tout usage exclusivement professionnel.

- 6 février 2019 - 1315 Views