in

Voici comment un attaquant peut contourner votre authentification à deux facteurs

Les systèmes d’authentification à deux facteurs ne sont pas aussi infaillibles qu’ils le semblent. Un attaquant n’a pas réellement besoin de votre jeton d’authentification physique s’il peut inciter votre compagnie de téléphone ou le service sécurisé lui-même à les laisser entrer.

Une authentification supplémentaire est toujours utile. Bien que rien n’offre la sécurité parfaite que nous souhaitons tous, l’utilisation de l’authentification à deux facteurs crée plus d’obstacles pour les attaquants qui veulent vos affaires.

Votre compagnie de téléphone est un maillon faible

Les systèmes d’authentification en deux étapes sur de nombreux sites Web fonctionnent en envoyant un message à votre téléphone par SMS lorsque quelqu’un essaie de se connecter. Même si vous utilisez une application dédiée sur votre téléphone pour générer des codes, il y a de fortes chances que votre service de choix offre permettre aux gens de se connecter en envoyant un code SMS sur votre téléphone. Ou, le service peut vous permettre de supprimer la protection d’authentification à deux facteurs de votre compte après avoir confirmé que vous avez accès à un numéro de téléphone que vous avez configuré comme numéro de téléphone de récupération.

Tout cela sonne bien. Vous avez votre téléphone portable et un numéro de téléphone. Il contient une carte SIM physique qui le relie à ce numéro de téléphone auprès de votre fournisseur de téléphone portable. Tout cela semble très physique. Mais, malheureusement, votre numéro de téléphone n’est pas aussi sûr que vous le pensez.

Si vous avez déjà eu besoin de déplacer un numéro de téléphone existant vers une nouvelle carte SIM après avoir perdu votre téléphone ou simplement en avoir acheté une nouvelle, vous saurez ce que vous pouvez souvent faire entièrement par téléphone – ou peut-être même en ligne. Tout ce qu’un attaquant a à faire est d’appeler le service client de votre société de téléphonie mobile et de se faire passer pour vous. Ils auront besoin de savoir quel est votre numéro de téléphone et de connaître certaines informations personnelles vous concernant. Ce sont les types de détails – par exemple, le numéro de carte de crédit, les quatre derniers chiffres d’un SSN, etc. – qui fuient régulièrement dans les grandes bases de données et sont utilisés pour le vol d’identité. L’attaquant peut essayer de faire transférer votre numéro de téléphone sur son téléphone.

Il existe des moyens encore plus simples. Ou, par exemple, ils peuvent configurer le transfert d’appel du côté de la compagnie de téléphone afin que les appels vocaux entrants soient transférés vers leur téléphone et n’atteignent pas le vôtre.

Heck, un attaquant pourrait ne pas avoir besoin d’accéder à votre numéro de téléphone complet. Ils pourraient accéder à votre messagerie vocale, essayer de se connecter à des sites Web à 3 heures du matin, puis récupérer les codes de vérification dans votre boîte vocale. Quelle est la sécurité exacte du système de messagerie vocale de votre compagnie de téléphone? Dans quelle mesure votre code PIN de messagerie vocale est-il sécurisé – en avez-vous même défini un? Tout le monde n’a pas! Et, si c’est le cas, combien d’efforts faudrait-il à un attaquant pour réinitialiser le code PIN de votre messagerie vocale en appelant votre compagnie de téléphone?

Avec votre numéro de téléphone, tout est fini

Votre numéro de téléphone devient le maillon faible, permettant à votre attaquant de supprimer la vérification en deux étapes de votre compte – ou de recevoir des codes de vérification en deux étapes – via SMS ou appels vocaux. Au moment où vous réalisez que quelque chose ne va pas, ils peuvent avoir accès à ces comptes.

C’est un problème pour pratiquement tous les services. Les services en ligne ne veulent pas que les gens perdent l’accès à leurs comptes, ils vous permettent donc généralement de contourner et de supprimer cette authentification à deux facteurs avec votre numéro de téléphone. Cela aide si vous avez dû réinitialiser votre téléphone ou en obtenir un nouveau et que vous avez perdu vos codes d’authentification à deux facteurs, mais que vous avez toujours votre numéro de téléphone.

Théoriquement, il y a censé y avoir beaucoup de protection ici. En réalité, vous traitez avec les gens du service à la clientèle des fournisseurs de services cellulaires. Ces systèmes sont souvent mis en place pour être efficaces, et un employé du service client peut négliger certaines des mesures de protection face à un client qui semble en colère, impatient et qui a ce qui semble être suffisamment d’informations. Votre opérateur téléphonique et son service client sont un maillon faible de votre sécurité.

Il est difficile de protéger votre numéro de téléphone. De manière réaliste, les sociétés de téléphonie cellulaire devraient fournir davantage de garanties pour rendre cela moins risqué. En réalité, vous voulez probablement faire quelque chose par vous-même au lieu d’attendre que les grandes entreprises corrigent leurs procédures de service à la clientèle. Certains services peuvent vous permettre de désactiver la récupération ou la réinitialisation via les numéros de téléphone et de vous en avertir abondamment – mais, s’il s’agit d’un système critique, vous pouvez choisir des procédures de réinitialisation plus sécurisées telles que des codes de réinitialisation que vous pouvez verrouiller dans un coffre-fort bancaire au cas où vous en avez jamais besoin.

Autres procédures de réinitialisation

Il ne s’agit pas seulement de votre numéro de téléphone. De nombreux services vous permettent de supprimer cette authentification à deux facteurs par d’autres moyens si vous déclarez que vous avez perdu le code et que vous devez vous connecter. Tant que vous connaissez suffisamment de détails personnels sur le compte, vous pourrez peut-être accéder.

Essayez-le vous-même – accédez au service que vous avez sécurisé avec l’authentification à deux facteurs et faites comme si vous aviez perdu le code. Voyez ce qu’il faut pour entrer. Vous devrez peut-être fournir des informations personnelles ou répondre à des «questions de sécurité» non sécurisées dans le pire des cas. Cela dépend de la configuration du service. Vous pourrez peut-être le réinitialiser en envoyant un lien vers un autre compte de messagerie, auquel cas ce compte de messagerie peut devenir un lien faible. Dans une situation idéale, il se peut que vous ayez simplement besoin d’accéder à un numéro de téléphone ou à des codes de récupération – et, comme nous l’avons vu, la partie numéro de téléphone est un maillon faible.

Voici quelque chose d’autre effrayant: il ne s’agit pas seulement de contourner la vérification en deux étapes. Un attaquant pourrait essayer des astuces similaires pour contourner complètement votre mot de passe. Cela peut fonctionner parce que les services en ligne veulent garantir que les utilisateurs puissent à nouveau accéder à leurs comptes, même s’ils perdent leur mot de passe.

Par exemple, jetez un œil à la Récupération de compte Google système. C’est une option ultime pour récupérer votre compte. Si vous prétendez ne connaître aucun mot de passe, des informations sur votre compte vous seront éventuellement demandées, par exemple lorsque vous l’avez créé et à qui vous envoyez fréquemment des e-mails. Un attaquant qui en sait assez sur vous pourrait théoriquement utiliser des procédures de réinitialisation de mot de passe comme celles-ci pour accéder à vos comptes.

Nous n’avons jamais entendu parler d’abus du processus de récupération de compte de Google, mais Google n’est pas la seule entreprise à disposer d’outils comme celui-ci. Ils ne peuvent pas tous être totalement infaillibles, surtout si un attaquant en sait assez sur vous.

Quels que soient les problèmes, un compte avec une configuration de vérification en deux étapes sera toujours plus sécurisé que le même compte sans vérification en deux étapes. Mais l’authentification à deux facteurs n’est pas une solution miracle, comme nous l’avons vu avec unttacks qui abusent du plus gros maillon faible: votre compagnie de téléphone.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment créer votre propre indexeur Usenet

Comment créer votre propre indexeur Usenet

Réduisez les applications dans la barre d'état système avec Trayconizer

Réduisez les applications dans la barre d’état système avec Trayconizer