Comment les pirates peuvent utiliser des applications de mise en miroir de messages pour voir tous vos SMS et contourner la sécurité 2FA

Il est désormais bien connu que les noms d’utilisateur et les mots de passe ne suffisent pas pour accéder en toute sécurité aux services en ligne. Une étude récente a mis en évidence que plus de 80 % de toutes les violations liées au piratage sont dues à des informations d’identification compromises et faibles, avec trois milliards de combinaisons nom d’utilisateur/mot de passe volées en 2016 seulement.

A ce titre, la mise en place de l’authentification à deux facteurs (2FA) est devenue une nécessité. Généralement, 2FA vise à fournir une couche de sécurité supplémentaire au système de nom d’utilisateur/mot de passe relativement vulnérable.

Cela fonctionne aussi. Les chiffres suggèrent que les utilisateurs qui ont activé 2FA ont fini par bloquer environ 99,9% des attaques automatisées.

Mais comme pour toute bonne solution de cybersécurité, les attaquants peuvent rapidement trouver des moyens de la contourner. Ils peuvent contourner la 2FA via les codes à usage unique envoyés sous forme de SMS au smartphone d’un utilisateur.

Pourtant, de nombreux services en ligne essentiels en Australie utilisent encore des codes à usage unique basés sur SMS, notamment myGov et les quatre grandes banques : ANZ, Commonwealth Bank, NAB et Westpac.

Alors, quel est le problème avec les SMS ?

Les principaux fournisseurs tels que Microsoft ont exhorté les utilisateurs à abandonner les solutions 2FA qui exploitent les SMS et les appels vocaux. En effet, les SMS sont réputés pour leur faible sécurité, ce qui les laisse ouverts à une multitude d’attaques différentes.

Par exemple, l’échange de SIM a été démontré comme un moyen de contourner 2FA. L’échange de carte SIM implique qu’un attaquant convainque le fournisseur de services mobiles d’une victime qu’il est lui-même la victime, puis demande que le numéro de téléphone de la victime soit commuté sur un appareil de son choix.

Les codes à usage unique basés sur SMS sont également compromis par des outils facilement disponibles tels que Modlishka en exploitant une technique appelée proxy inverse. Cela facilite la communication entre la victime et un service dont l’identité est usurpée.

Ainsi, dans le cas de Modlishka, il interceptera la communication entre un service authentique et une victime et suivra et enregistrera les interactions des victimes avec le service, y compris les informations de connexion qu’elles peuvent utiliser).

En plus de ces vulnérabilités existantes, notre équipe a trouvé des vulnérabilités supplémentaires dans le 2FA basé sur SMS. Une attaque particulière exploite une fonctionnalité fournie sur le Google Play Store pour installer automatiquement des applications du Web sur votre appareil Android.

Si un attaquant a accès à vos informations d’identification et parvient à se connecter à votre compte Google Play sur un ordinateur portable (bien que vous receviez une invite), il peut alors installer automatiquement n’importe quelle application qu’il souhaite sur votre smartphone.

L’attaque sur Android

Nos expériences ont révélé qu’un acteur malveillant peut accéder à distance au 2FA basé sur SMS d’un utilisateur avec peu d’effort, grâce à l’utilisation d’une application populaire (nom et type masqués pour des raisons de sécurité) conçue pour synchroniser les notifications de l’utilisateur sur différents appareils.

Plus précisément, les attaquants peuvent exploiter une combinaison e-mail/mot de passe compromise connectée à un compte Google (tel que nom d’utilisateur@gmail.com) pour installer de manière malveillante une application de mise en miroir de messages facilement disponible sur le smartphone d’une victime via Google Play.

Il s’agit d’un scénario réaliste car il est courant que les utilisateurs utilisent les mêmes informations d’identification sur une variété de services. L’utilisation d’un gestionnaire de mots de passe est un moyen efficace de sécuriser votre première ligne d’authentification (votre nom d’utilisateur/mot de passe).

Une fois l’application installée, l’attaquant peut appliquer des techniques d’ingénierie sociale simples pour convaincre l’utilisateur d’activer les autorisations requises pour que l’application fonctionne correctement.

Par exemple, ils peuvent prétendre appeler un fournisseur de services légitime pour persuader l’utilisateur d’activer les autorisations. Après cela, ils peuvent recevoir à distance toutes les communications envoyées au téléphone de la victime, y compris les codes à usage unique utilisés pour 2FA.

Bien que plusieurs conditions doivent être remplies pour que l’attaque susmentionnée fonctionne, elle démontre toujours la nature fragile des méthodes 2FA basées sur SMS.

Plus important encore, cette attaque n’a pas besoin de capacités techniques haut de gamme. Cela nécessite simplement un aperçu du fonctionnement de ces applications spécifiques et de la manière de les utiliser intelligemment (avec l’ingénierie sociale) pour cibler une victime.

La menace est encore plus réelle lorsque l’attaquant est une personne de confiance (par exemple, un membre de la famille) ayant accès au smartphone de la victime.

Quelle est l’alternative ?

Pour rester protégé en ligne, vous devez vérifier si votre première ligne de défense est sécurisée. Vérifiez d’abord votre mot de passe pour voir s’il est compromis. Il existe un certain nombre de programmes de sécurité qui vous permettront de le faire. Et assurez-vous d’utiliser un mot de passe bien conçu.

Nous vous recommandons également de limiter l’utilisation des SMS en tant que méthode 2FA si vous le pouvez. Vous pouvez utiliser à la place des codes à usage unique basés sur l’application, par exemple via Google Authenticator. Dans ce cas, le code est généré dans l’application Google Authenticator sur votre appareil lui-même, plutôt que de vous être envoyé.

Cependant, cette approche peut également être compromise par des pirates utilisant des logiciels malveillants sophistiqués. Une meilleure alternative serait d’utiliser des périphériques matériels dédiés tels que YubiKey.

Il s’agit de petits périphériques USB (ou de communication en champ proche) qui offrent un moyen simplifié d’activer 2FA sur différents services.

De tels appareils physiques doivent être branchés ou placés à proximité d’un appareil de connexion dans le cadre de 2FA, atténuant ainsi les risques associés aux codes à usage unique visibles, tels que les codes envoyés par SMS.

Il faut souligner qu’une condition sous-jacente à toute alternative 2FA est que l’utilisateur lui-même doit avoir un certain niveau de participation active et de responsabilité.

Dans le même temps, des travaux supplémentaires doivent être menés par les fournisseurs de services, les développeurs et les chercheurs pour développer des méthodes d’authentification plus accessibles et sécurisées.

Essentiellement, ces méthodes doivent aller au-delà de la 2FA et vers un environnement d’authentification multifacteur, où plusieurs méthodes d’authentification sont simultanément déployées et combinées selon les besoins.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.