Comment les pirates peuvent utiliser des applications de mise en miroir de messages pour voir tous vos SMS et contourner la sécurité 2FA

0
27
  • COSTWAY Coiffeuse pour Enfants 2 en 1 avec Miroir Amovible, Bureau Enfant avec 4 Étagères de Style Princesse pour Filles, Blanc
    Attributs : 【Miroir amovible à 3 pans : 】 Le miroir à 3 pans offre une vue dégagée aux enfants. En position assise, les enfants peuvent voir leur reflet complet. Le haut de la coiffeuse peut être retiré et votre enfant peut utiliser le plateau comme bureau si nécessaire. Ce design 2 en 1 est pratique et permet d'économiser l'espace dans votre maison. 【Beau cadeau pour les enfants : 】La coiffeuse est de petite taille et conçue spécialement pour les enfants. Elle offre suffisamment d'espace pour des jeux d'imitation, favorisant l'imagination des enfants et leur permettant de mieux manipuler les objets. Toutes les filles veulent une belle commode avec des bijoux et des produits de beauté. Offrez-en une à vos enfants ! 【Espace de rangement : 】 La coiffeuse comporte un bureau spacieux et 2 casiers grand format avec des compartiments au milieu. Elle permet de garder les objets des enfants bien rangés, tels que leurs bijoux, produits cosmétiques, livres, jouets et autres effets personnels.
  • COSTWAY Coiffeuse pour Enfants 2 en 1 avec Miroir Amovible, Bureau Enfant avec 4 Étagères de Style Princesse pour Filles, Rose
    Attributs : 【Miroir amovible à 3 pans :】 Le miroir à 3 pans offre une vue dégagée aux enfants. En position assise, les enfants peuvent voir leur reflet complet. Le haut de la coiffeuse peut être retiré et votre enfant peut utiliser le plateau comme bureau si nécessaire. Ce design 2 en 1 est pratique et permet d'économiser l'espace dans votre maison. 【Espace de rangement :】 La coiffeuse comporte un bureau spacieux et 2 casiers grand format avec des compartiments au milieu. Elle permet de garder les objets des enfants bien rangés, tels que leurs bijoux, produits cosmétiques, livres, jouets et autres effets personnels. Ce format encourage les enfants à prendre l'habitude de ranger leurs affaires. 【Produit de qualité et fiable :】 Cette coiffeuse est fabriquée en carton MDF de qualité, fiable et respectueux de l'environnement. Le coin arrondi de la table empêche les enfants de se cogner. Les miroirs ne sont pas en verre véritable mais en plastique. Cela évite que les enfants ne soient

Crédit : Shutterstock

Il est désormais bien connu que les noms d’utilisateur et les mots de passe ne suffisent pas pour accéder en toute sécurité aux services en ligne. Une étude récente a mis en évidence que plus de 80 % de toutes les violations liées au piratage sont dues à des informations d’identification compromises et faibles, avec trois milliards de combinaisons nom d’utilisateur/mot de passe volées en 2016 seulement.

A ce titre, la mise en place de l’authentification à deux facteurs (2FA) est devenue une nécessité. Généralement, 2FA vise à fournir une couche de sécurité supplémentaire au système de nom d’utilisateur/mot de passe relativement vulnérable.

Cela fonctionne aussi. Les chiffres suggèrent que les utilisateurs qui ont activé 2FA ont fini par bloquer environ 99,9% des attaques automatisées.

Mais comme pour toute bonne solution de cybersécurité, les attaquants peuvent rapidement trouver des moyens de la contourner. Ils peuvent contourner la 2FA via les codes à usage unique envoyés sous forme de SMS au smartphone d’un utilisateur.

Pourtant, de nombreux services en ligne essentiels en Australie utilisent encore des codes à usage unique basés sur SMS, notamment myGov et les quatre grandes banques : ANZ, Commonwealth Bank, NAB et Westpac.

Alors, quel est le problème avec les SMS ?

Les principaux fournisseurs tels que Microsoft ont exhorté les utilisateurs à abandonner les solutions 2FA qui exploitent les SMS et les appels vocaux. En effet, les SMS sont réputés pour leur faible sécurité, ce qui les laisse ouverts à une multitude d’attaques différentes.

Par exemple, l’échange de SIM a été démontré comme un moyen de contourner 2FA. L’échange de carte SIM implique qu’un attaquant convainque le fournisseur de services mobiles d’une victime qu’il est lui-même la victime, puis demande que le numéro de téléphone de la victime soit commuté sur un appareil de son choix.

Les codes à usage unique basés sur SMS sont également compromis par des outils facilement disponibles tels que Modlishka en exploitant une technique appelée proxy inverse. Cela facilite la communication entre la victime et un service dont l’identité est usurpée.

Ainsi, dans le cas de Modlishka, il interceptera la communication entre un service authentique et une victime et suivra et enregistrera les interactions des victimes avec le service, y compris les informations de connexion qu’elles peuvent utiliser).

En plus de ces vulnérabilités existantes, notre équipe a trouvé des vulnérabilités supplémentaires dans le 2FA basé sur SMS. Une attaque particulière exploite une fonctionnalité fournie sur le Google Play Store pour installer automatiquement des applications du Web sur votre appareil Android.

Si un attaquant a accès à vos informations d’identification et parvient à se connecter à votre compte Google Play sur un ordinateur portable (bien que vous receviez une invite), il peut alors installer automatiquement n’importe quelle application qu’il souhaite sur votre smartphone.

L’attaque sur Android

Nos expériences ont révélé qu’un acteur malveillant peut accéder à distance au 2FA basé sur SMS d’un utilisateur avec peu d’effort, grâce à l’utilisation d’une application populaire (nom et type masqués pour des raisons de sécurité) conçue pour synchroniser les notifications de l’utilisateur sur différents appareils.

Plus précisément, les attaquants peuvent exploiter une combinaison e-mail/mot de passe compromise connectée à un compte Google (tel que nom d’utilisateur@gmail.com) pour installer de manière malveillante une application de mise en miroir de messages facilement disponible sur le smartphone d’une victime via Google Play.

Comment les pirates peuvent utiliser les applications de mise en miroir de messages pour voir tous vos SMS et contourner la sécurité 2FA

La YubiKey, développée pour la première fois en 2008, est un dispositif d’authentification conçu pour prendre en charge les mots de passe à usage unique et les protocoles 2FA sans avoir à dépendre du 2FA basé sur SMS. Crédit : Shutterstock

Il s’agit d’un scénario réaliste car il est courant que les utilisateurs utilisent les mêmes informations d’identification sur une variété de services. L’utilisation d’un gestionnaire de mots de passe est un moyen efficace de sécuriser votre première ligne d’authentification (votre nom d’utilisateur/mot de passe).

Une fois l’application installée, l’attaquant peut appliquer des techniques d’ingénierie sociale simples pour convaincre l’utilisateur d’activer les autorisations requises pour que l’application fonctionne correctement.

Par exemple, ils peuvent prétendre appeler un fournisseur de services légitime pour persuader l’utilisateur d’activer les autorisations. Après cela, ils peuvent recevoir à distance toutes les communications envoyées au téléphone de la victime, y compris les codes à usage unique utilisés pour 2FA.

Bien que plusieurs conditions doivent être remplies pour que l’attaque susmentionnée fonctionne, elle démontre toujours la nature fragile des méthodes 2FA basées sur SMS.

Plus important encore, cette attaque n’a pas besoin de capacités techniques haut de gamme. Cela nécessite simplement un aperçu du fonctionnement de ces applications spécifiques et de la manière de les utiliser intelligemment (avec l’ingénierie sociale) pour cibler une victime.

La menace est encore plus réelle lorsque l’attaquant est une personne de confiance (par exemple, un membre de la famille) ayant accès au smartphone de la victime.

Quelle est l’alternative ?

Pour rester protégé en ligne, vous devez vérifier si votre première ligne de défense est sécurisée. Vérifiez d’abord votre mot de passe pour voir s’il est compromis. Il existe un certain nombre de programmes de sécurité qui vous permettront de le faire. Et assurez-vous d’utiliser un mot de passe bien conçu.

Nous vous recommandons également de limiter l’utilisation des SMS en tant que méthode 2FA si vous le pouvez. Vous pouvez utiliser à la place des codes à usage unique basés sur l’application, par exemple via Google Authenticator. Dans ce cas, le code est généré dans l’application Google Authenticator sur votre appareil lui-même, plutôt que de vous être envoyé.

Cependant, cette approche peut également être compromise par des pirates utilisant des logiciels malveillants sophistiqués. Une meilleure alternative serait d’utiliser des périphériques matériels dédiés tels que YubiKey.

Il s’agit de petits périphériques USB (ou de communication en champ proche) qui offrent un moyen simplifié d’activer 2FA sur différents services.

De tels appareils physiques doivent être branchés ou placés à proximité d’un appareil de connexion dans le cadre de 2FA, atténuant ainsi les risques associés aux codes à usage unique visibles, tels que les codes envoyés par SMS.

Il faut souligner qu’une condition sous-jacente à toute alternative 2FA est que l’utilisateur lui-même doit avoir un certain niveau de participation active et de responsabilité.

Dans le même temps, des travaux supplémentaires doivent être menés par les fournisseurs de services, les développeurs et les chercheurs pour développer des méthodes d’authentification plus accessibles et sécurisées.

Essentiellement, ces méthodes doivent aller au-delà de la 2FA et vers un environnement d’authentification multifacteur, où plusieurs méthodes d’authentification sont simultanément déployées et combinées selon les besoins.


Google met à jour sa gamme Titan Security Key avec les versions USB-A et USB-C


Fourni par La Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.La conversation

Citation: Comment les pirates peuvent utiliser les applications de mise en miroir de messages pour voir tous vos SMS et contourner la sécurité 2FA (2021, 16 août) récupéré le 16 août 2021 à partir de https://techxplore.com/news/2021-08-hackers-message-mirroring-apps -sms.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.


Les offres de produits Hi-tech en rapport avec cet article

  • Carft Bird Bird Stand Perch Parrot Playground Stand Bird Mirror Pour Cockatiels B
    La description: Les oiseaux peuvent voir leur apparence dans le miroir, ce qui lui donne beaucoup de plaisir. Le support peut être accroché dans la cage ou à un autre endroit avec deux crochets, pratique à utiliser. Matériau en bois doux, après un traitement et un polissage en profondeur, la surface est plus lisse et résistante à l'usure. Idéal pour les oiseaux pour faire de l'exercice, se divertir tout en développant des compétences d'équilibre et de coordination. Excellent jouet cadeau d'oiseau pour petit perroquet / perruches / conures / perruches perruches et plus encore! spécification: Matériel: bois Taille A: 10 x 10 cm / 3,9 x 3,9 pouces Taille B: 10 x 10 x 10 cm / 3,9 x 3,9 x 3,9 pouces Le forfait comprend: 1 x balançoire miroir en bois Remarque: En raison de la différence de lumière et d'écran, la couleur de l'article peut être légèrement différente de celle des images. Veuillez permettre des différences de 1 à 3 mm en raison de la mesure manuelle.

Laisser un commentaire