Devenue un standard pour les réseaux sociaux et les plateformes Cloud, l’authentification à deux facteurs (2 FA) consiste à valider la connexion par le biais du SMS ou d’un courriel. Cette méthode a pu stopper les pirates pendant un moment, mais la donne a visiblement changé. Des outils spécialement conçus pour contourner cette protection ont vu le jour.
Les hackers contournent le 2FA grâce au phishing
La face cachée d’Internet ou Dark Web regorge d’outils mis à disposition des pirates informatiques. Des fournisseurs depuis le côté underground de la Toile proposent des programmes de phishing. Concrètement, il s’agit de données personnelles qui permettent aux hackers de mener des attaques complexes. Ce sont des renseignements volés via des spywares ou par le biais d’autres systèmes.
Les faits ont été prouvés par l’Université Stony Brook. Les chercheurs ont découvert l’existence d’outils de phishing commercialisés dans le Dark Web par des spécialistes de la pratique frauduleuse. Les codes malveillants permettent même de contourner l’authentification à doubles facteurs. Depuis quelques années, Google, Facebook, Paypal, Microsoft et d’autres acteurs du Net ont foi aux 2 FA.
La contribution de Palo Alto Networks a permis aux chercheurs de découvrir la manigance. Grâce à cette société de sécurité, les fins limiers ont dressé la liste de quelque 1 200 sites de phishing. Ces derniers se passent pour la Caisse d’Allocation Familiale, le service des impôts, etc. Ces plateformes contournent le 2FA dans l’optique de recueillir des coordonnées bancaires ou d’extraire des données personnelles sensibles.
L’authentification à deux facteurs est utilisée par les pirates
Initialement destiné à consolider la sécurité, l’authentification par SMS ou Email est détourné par les hackers. Ces derniers s’en servent pour obtenir des numéros de téléphone et d’autres renseignements sensibles. Outre le phishing, les pirates emploient également l’hameçonnage vocal. Cette technique leur permet de mettre la main sur le code aléatoire destiné au titulaire d’un compte. C’est une approche sophistiquée qui démontre la ferme volonté des cybercriminelles à aller au bout de leurs objectifs. Les victimes se font voler des informations personnelles ou perdent de l’argent.
Pirater un compte Google, Microsoft devient un jeu d’enfant pour certains hackers. Ils passent désormais aux coordonnées bancaires et à l’assurance maladie. Les plus malins d’entre eux mettent en pratique « l’attaque de l’homme du milieu » ou HDM. La combine consiste à utiliser un serveur proxy inverse dont l’objet est de détourner le trafic destiné à l’ordinateur de la personne ciblée. Un canal est ainsi établi et il devient facile d’intercepter les codes d’authentification. Chez les pirates aussi, on n’arrête pas le progrès !
- Des problèmes de « hallucinations » détectés dans l’outil de transcription Whisper d’OpenAI, rapportent les chercheurs. - octobre 27, 2024
- SandboxAQ d’Eric Schmidt envisage une valorisation de 5 milliards de dollars pour son projet audacieux lié à l’IA et à l’informatique quantique de Google. - octobre 19, 2024
- Les caractéristiques d’Apple Intelligence peuvent aussi synthétiser pour vous les textes de séparation - octobre 11, 2024