Le système d'authentification à deux facteurs désormais présents sur la plupart des applications web(Facebook, Gmail, Hotmail, Yahoo,...) a énormément renforcé la sécurité des connexions en ligne ces dernières années. Cependant, des hackers ont réussi à contourner cette sécurité en piratant des comptes de messageries Gmail et Yahoo, suivant ce que révèle un rapport produit par Amnesty International... Dans cet article nous vous révélons comment les hackers ont procédé pour pirater les comptes et surtout, comment vous protéger contre les failles de sécurité exploitées par ces derniers.
Le système de l'authentification à deux facteurs, ou 2FA en abrégé, est un système qui permet d'activer un deuxième niveau de sécurité en plus du mot de passe classique. En effet, une fois cette option est activée sur le compte applicatif, un code de vérification supplémentaire est à renseigner pour être sûr que la connexion est initiée par le propriétaire du compte. Ce code peut être envoyé sur votre téléphone par SMS, par appel vocal, ou encore fourni par un logiciel d'authentification dédiée (Google Authenticator, Authy, Hotmail authenticator, ...). Ce deuxième niveau de sécurité (fourni en temps réel) empêche ainsi un éventuel pirate d'aller au-delà de l'accès au premier facteur (le mot de passe). Pourtant, un rapport d'Amnesty International révèle que des hackers sont parvenus à se jouer du mécanisme 2FA sur Gmail et Yahoo.
Un système de phishing bien plus complexe que d'habitude...
Pour contourner le système de sécurisation 2FA, les pirates informatiques ont joué sur le "facteur humain" à travers un système de phishing bien plus élaboré qu'un phishing classique.
Ils ont d'abord envoyé des alertes de sécurité assez convaincantes, par mail, pour guider leurs cibles vers de faux sites. Ensuite, ils ont demandé à l'utilisateur de s'enregistrer via un code d'authentification à deux facteurs. Après qu'ils ont reçu le code, les pirates ont envoyé à la cible un formulaire pour procéder au changement de son mot de passe. Ainsi, ils ont pu, avant l'expiration du code, le taper dans la page de connexion des boites Gmail et Yahoo, et y accéder.
Les pirates ont ciblé près d'un millier de comptes Google et Yahoo, essentiellement des journalistes et activistes du Moyen-Orient et d'Afrique du Nord, en 2017 et 2018. Les attaquants pourraient provenir de pays du golfe Persique et visaient, selon Amnesty international, des dissidents issus des Émirats arabes unis.
Comment se prémunir contre ce genre de tentatives de piratage de données ?
Comme vous le savez sans doute, en matière de sécurité informatique le maillon le plus faible reste toujours le facteur humain. Et c'est bien ce facteur que la plupart des attaques informatiques réussies exploitent. C'est la raison pour laquelle il est important de connaître les bonnes pratiques en matière de sécurisation de ses données personnelles sur Internet afin de ne pas se faire avoir...
Quelques règles de base sont à connaître et à mettre en application :
1. Etre attentif à la forme :
Une grande majorité de ces mails frauduleux ont généralement un aspect visuel assez pauvre et ne ressemblent que vaguement aux messages que les opérateurs de messagerie envoient et que les pirates tentent de copier...
Il faut savoir qu'aucun opérateur de messagerie en ligne ne vous enverrait ce genre de message. Et par conséquent, pour se protéger de ces genres de tentatives il suffit bien souvent de savoir identifier et authentifier les messages automatisés générés par le système de messagerie ou l'application.
Typiquement, un exemple de tentative de phishing visant à contourner le système de 2FA, ressemblerait à ceci :
2. Ne jamais cliquer sur les liens !!!
Vous avez reçu un message contenant un lien vous demandant de renseigner vos informations de connexions, et vous avez un doute sur son authenticité ? La solution la plus efficace est de ne jamais cliquer dessus.
D'abord, parce que les opérateurs ne vous envoient quasiment jamais de lien pour vous permettre de vous connecter à votre compte... Ils supposent (à raison) que tout le monde connait au moins son adresse de connexion à sa messagerie internet ou application web (Google, Yahoo, Facebook, Twitter,...).
3. Etre très réactif
Même en étant très attentif, il est toujours parfois possible de se faire berner, surtout au cas où la sécurité 2FA n'est pas activée... Si c’est le cas, il faut rapidement signaler le message frauduleux à son opérateur de messagerie ou à l'organisme concerné (banque, Assurance maladie, ...), et surtout, ne pas hésiter à le signaler à la police. Car même si l’on est en général couvert par les assurances, les données récupérées peuvent être exploitées par des cybercriminels qui pourraient s’en servir pour blanchir de l’argent, par exemple.
Auteur : Kouamé Kouadio, consultant Expert en systèmes d'information & Fondateur média AfroPolitis.com
BLOG COMMENTS POWERED BY DISQUS