Internet
Puis-je encore être piraté avec 2FA activé?
La cybersécurité est comme un jeu de taupe. Dès que les gentils ont mis un terme à un type d’attaque, un autre apparaît.
Les noms d’utilisateur et les mots de passe étaient autrefois assez bons pour garder un compte sécurisé. Mais avant longtemps, les cybercriminels ont compris comment contourner ce problème.
Souvent, ils utiliseront des « attaques par force brute », bombardant le compte d’un utilisateur avec diverses combinaisons de mots de passe et de connexion dans le but de deviner le bon.
Pour faire face à de telles attaques, une deuxième couche de sécurité a été ajoutée dans une approche connue sous le nom d’authentification à deux facteurs, ou 2FA. Il est maintenant répandu, mais la 2FA laisse-t-elle également de la place aux failles que les cybercriminels peuvent exploiter?
2FA par SMS
Il existe différents types de 2FA. La méthode la plus courante consiste à envoyer un code à usage unique sous forme de message SMS à votre téléphone, que vous entrez ensuite à la suite d’une invite du site Web ou du service auquel vous essayez d’accéder.
La plupart d’entre nous connaissent cette méthode car elle est favorisée par les principales plateformes de médias sociaux. Cependant, même si cela peut sembler suffisamment sûr, ce n’est pas nécessairement le cas.
Les pirates informatiques sont connus pour inciter les opérateurs de téléphonie mobile (tels que Telstra ou Optus) à transférer le numéro de téléphone d’une victime sur leur propre téléphone.
Prétendant être la victime visée, le pirate informatique contacte le transporteur avec une histoire de perte de son téléphone, demandant qu’une nouvelle carte SIM avec le numéro de la victime lui soit envoyée. Tout code d’authentification envoyé à ce numéro va alors directement au pirate informatique, lui donnant accès aux comptes de la victime.
Cette méthode est appelée échange de carte SIM. C’est probablement le type d’escroquerie le plus simple qui puisse contourner 2FA.
Et tandis que les processus de vérification des opérateurs pour les demandes SIM s’améliorent, un escroc compétent peut les contourner.
Applications d’authentification
La méthode d’authentification est plus sécurisée que 2FA par SMS. Il fonctionne sur un principe connu sous le nom de TOTP, ou «mot de passe à usage unique basé sur le temps».
TOTP est plus sécurisé que les SMS car un code est généré sur votre appareil plutôt que d’être envoyé sur le réseau, où il peut être intercepté.
La méthode d’authentification utilise des applications telles que Google Authenticator, LastPass, 1Password, Microsoft Authenticator, Authy et Yubico.
Cependant, bien qu’il soit plus sûr que le 2FA par SMS, il a été signalé que des pirates informatiques volaient des codes d’authentification à partir de smartphones Android. Ils le font en incitant l’utilisateur à installer des logiciels malveillants (logiciels conçus pour causer des dommages) qui copient et envoient les codes au pirate informatique.
Le système d’exploitation Android est plus facile à pirater que l’iPhone iOS. L’iOS d’Apple est propriétaire, tandis qu’Android est open-source, ce qui facilite l’installation de logiciels malveillants.
2FA en utilisant des détails qui vous sont propres
Les méthodes biométriques sont une autre forme de 2FA. Il s’agit notamment de la connexion par empreinte digitale, de la reconnaissance faciale, des scans de la rétine ou de l’iris et la reconnaissance vocale. L’identification biométrique est de plus en plus populaire pour sa facilité d’utilisation.
Aujourd’hui, la plupart des smartphones peuvent être déverrouillés en plaçant un doigt sur le scanner ou en laissant l’appareil photo scanner votre visage, bien plus rapidement que de saisir un mot de passe ou un code d’accès.
Cependant, les données biométriques peuvent également être piratées, soit depuis les serveurs où elles sont stockées, soit depuis le logiciel qui traite les données.
Un exemple typique est la violation de données Biostar 2 de l’année dernière dans laquelle près de 28 millions d’enregistrements biométriques ont été piratés. BioStar 2 est un système de sécurité qui utilise la technologie de reconnaissance faciale et d’empreintes digitales pour aider les organisations à sécuriser l’accès aux bâtiments.
Il peut également y avoir de faux négatifs et de faux positifs dans la reconnaissance biométrique. La saleté sur le lecteur d’empreintes digitales ou sur le doigt de la personne peut entraîner de faux négatifs. En outre, les visages peuvent parfois être assez similaires pour tromper les systèmes de reconnaissance faciale.
Un autre type de 2FA se présente sous la forme de questions de sécurité personnelle telles que « dans quelle ville vos parents se sont-ils rencontrés? » ou « quel était le nom de votre premier animal? »
Seul le hacker le plus déterminé et le plus ingénieux pourra trouver des réponses à ces questions. C’est peu probable, mais toujours possible, d’autant plus que nous sommes de plus en plus nombreux à adopter des profils publics en ligne.
2FA reste la meilleure pratique
Malgré tout ce qui précède, la plus grande vulnérabilité au piratage reste le facteur humain. Les hackers qui réussissent ont une panoplie ahurissante de trucs psychologiques dans leur arsenal.
Une cyberattaque peut se présenter sous la forme d’une demande polie, d’un avertissement effrayant, d’un message apparemment d’un ami ou d’un collègue, ou d’un lien intrigant « clickbait » dans un e-mail.
La meilleure façon de se protéger des pirates est de développer une bonne dose de scepticisme. Si vous vérifiez attentivement les sites Web et les liens avant de cliquer et que vous utilisez également 2FA, les chances d’être piraté deviennent extrêmement faibles.
L’essentiel est que 2FA est efficace pour protéger vos comptes. Cependant, essayez d’éviter la méthode SMS la moins sécurisée lorsque vous en avez l’option.
Tout comme les cambrioleurs dans le monde réel se concentrent sur les maisons mal sécurisées, les pirates sur Internet recherchent des faiblesses.
Et bien que toute mesure de sécurité puisse être surmontée avec suffisamment d’efforts, un pirate informatique ne fera pas cet investissement à moins qu’il n’obtienne quelque chose de plus précieux.
La prise en charge des clés de sécurité USB par Facebook est une bonne décision et une autre devrait suivre
Fourni par The Conversation
Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.
Citation: Puis-je toujours être piraté avec 2FA activé? (2020, 4 septembre) récupéré le 4 septembre 2020 sur https://techxplore.com/news/2020-09-hacked-2fa-enabled.html
Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.
Sommaire