Phishing : l’authentification à double facteur désormais contournée
Messagerie E-mail

Phishing : l’authentification à double facteur désormais contournée

L’authentification à double facteur devait prémunir l’utilisateur contre une connexion non désirée à leur compte sur diverses plateformes en fournissant un code à usage unique pour chaque session. Quoique…

L’authentification à double facteur, aussi connu sous le sigle 2FA, protège le propriétaire d’un compte contre un éventuel piratage, y compris les attaques de phishing. Seulement, à l’heure actuelle, il a été prouvé que le procédé pouvait être contourné.

Petit rappel : phishing et 2FA

Le phishing, appelé aussi hameçonnage, est un procédé ayant pour but de voler des données personnelles aux internautes. Pour ce faire, les fraudeurs les redirigent vers des sites copies conformes aux sites web légitimes grâce à des liens envoyés par mail sous couvert d’offres très alléchantes de natures diverses. Ils sont alors invités à taper leurs identifiants et mots de passe, que le fraudeur récupère ensuite. Mais il peut aussi s’agir de numéro de téléphone ou de compte bancaire.

Une 2FA est un procédé selon lequel, à chaque ouverture de session, le site web ou la plateforme génère un code que l’utilisateur doit saisir en plus de ses identifiants. Sans cela, la connexion est impossible. Ce code, à usage unique, est envoyé par mail ou par SMS. C’est pourquoi le phishing est inefficace si le 2FA est activé : les identifiants n’ont plus aucune utilité pour le fraudeur. De nouvelles techniques sont alors apparues…

Comment le 2FA a-t-il été contourné ?

Pour faire fi de l’authentification à double facteur, les sites web de phishing se font passer pour des mandataires à la solde de leur victime. À leur nom, ils envoient des demandes aux sites web légitimes et répondent en cas de besoin. L’objectif n’est pas de subtiliser des identifiants et des mots de passe, mais également de récupérer les cookies associés aux comptes, normalement stockés dans le navigateur. De fait, entrés dans un autre navigateur, ces cookies permettent de se connecter sans avoir besoin de s’authentifier. Cependant, contourner le 2FA grâce à cette technique de proxy demande un savoir-faire technique assez conséquent.

Des outils de piratages très perfectionnés

Récemment, un outil a été mis au point par des développeurs pour automatiser le processus et permettre un grand nombre d’attaques sans être gêné par l’authentification à double facteur. Cet outil comprend deux volets : un reverse-proxy appelé Muraena et un deuxième composant appelé NecroBrowser. Muraena se charge de récupérer les cookies avant de les transmettre à NecroBrowser. C’est ce dernier qui exécutera les instances envoyées par le fraudeur. En fonction des ressources à sa disposition, cet outil peut compromettre des centaines de cookies de sessions simultanément. Selon le type de compte, ils peuvent prendre des captures d’écran ou réinitialiser un mot de passe.

Néanmoins, selon leurs développeurs, cet outil ne sert qu’à montrer l’inefficacité de l’authentification à deux facteurs. Mais rien ne permet de garantir que les pirates informatiques de mauvaise intention ne disposent pas déjà d’un outil similaire. On incite donc les utilisateurs à renforcer leur système à double authentification pour plus de sécurité.

- 9 juillet 2019 - 230 Views