En informatique, « ce qui est sécurisé à 99 % n'est pas sécurisé », dit-on. L’authentification à doubles facteurs échappe-t-elle à la règle ? Eh bien non. Comme vous le savez, l'authentification à double facteur (2FA pour Two-Factor Authentication) est un processus de sécurité par lequel l'utilisateur fournit deux modes d'identification à partir de catégories de données distinctes : l'une se présente généralement sous la forme d'un jeton physique, comme une carte, et l'autre sous forme d'informations mémorisées, par exemple un code de sécurité. Ces deux facteurs représentent une chose possédée et une chose sue. Une carte SIM de téléphone par exemple peut servir comme deuxième facteur dans une d'authentification à double facteur.
La carte elle-même constitue l'élément physique. Elle vous permet de confirmer votre identité sur des services en ligne. En cas de comportement suspect lié à vos divers services en ligne, par exemple votre messagerie Gmail, Google pourrait se servir de votre numéro de téléphone pour s’assurer de votre identité en vous demandant de confirmer un code de vérification envoyé à votre numéro. Ce type d'authentification permet de réduire l'incidence de fraudes en ligne, telles que l'usurpation d'identité et l’hameçonnage, étant donné que le mot de passe de la victime ne suffit pas à accéder aux informations. Cependant, elle peut également être contournée.
Le SimSwap est un exemple de faille de l’authentification à deux facteurs. En effet, l'escroquerie d'échange SIM (également connue sous le nom d'escroquerie Port-Out ou fractionnement SIM) est un type de fraude à la prise de contrôle de compte qui cible généralement une faiblesse de l'authentification à deux facteurs et de la vérification en deux étapes, où le deuxième facteur d’authentification est un SMS ou un appel passé sur un téléphone mobile. La fraude est centrée sur l'exploitation de la capacité d'un opérateur de téléphonie mobile à transférer de manière transparente un numéro de téléphone sur une nouvelle carte SIM, également appelé le portage de SIM. Cette fonctionnalité est normalement utilisée lorsqu'un client a perdu ou s’est fait voler son téléphone.
L’escroquerie commence par un fraudeur qui rassemble des détails sur la victime, soit en utilisant des courriels de phishing, soit en les achetant à des criminels organisés ou soit en procédant directement à l’ingénierie sociale de la victime. Une fois que le fraudeur a obtenu ces informations, il contacte le fournisseur de téléphonie mobile de la victime. Le fraudeur utilisera des techniques d'ingénierie sociale pour convaincre la compagnie de téléphone de porter le numéro de téléphone de la victime sur la carte SIM du fraudeur.
Par exemple, en imitant la victime et en affirmant avoir perdu son téléphone. Le fraudeur devra convaincre ensuite la victime d’approuver le remplacement de la carte SIM. Une fois que cela se produit, le téléphone de la victime perdra sa connexion au réseau et le fraudeur recevra tous les SMS et appels vocaux destinés à la victime. Cela permet au fraudeur d'intercepter tout mot de passe à usage unique envoyé par SMS ou par appel téléphonique à la victime.
En résumé, ce genre d'attaque est un exploit malveillant exécuté par une source non autorisée, l’attaquant, qui utilise le service de portage SIM.
Il attaque votre carte SIM avec un téléphone qu'il contrôlent, le sien bien évidemment. L'attaquant initie ensuite le flux de réinitialisation du mot de passe sur votre compte de messagerie. Votre fournisseur de messagerie envoie un code de vérification à votre numéro de téléphone, qui est intercepté par l'attaquant, qui contrôle maintenant votre carte SIM. À partir de là, il arrive à contourner les éléments de sécurité des comptes de la victime comme ses comptes bancaires, ses comptes de médias sociaux, etc., reposant sur des SMS ou des appels téléphoniques.
Tout ceci est bien sûr possible (l’accès à toutes ces informations), car la plupart du temps, nous lions un seul compte Google à de multiples services en ligne. Si ce seul compte venait à être compromis, un attaquant peut avoir accès à votre galerie photos, à votre calendrier et vos prochaines dates de voyage, à vos courriels privés, à vos documents et à votre historique de recherche, à vos contacts personnels et à leurs informations privées ainsi qu’à vos relations avec vous et à tous les autres services en ligne pour lesquels votre adresse électronique principale a été utilisée comme source d'authentification.
Sean Coonce a été victime de cette attaque. Cette semaine, il rapporte son histoire et propose des mesures de sécurité à observer pour éviter que cela vous arrive. D’après ce qu’il rapporte, l’attaque dont il a été victime a permis à ses attaquants de lui dérober 100 000 dollars à partir de son compte Coinbase. Notons que Coinbase est un portefeuille de devises numériques en ligne et une plateforme d'échange permettant d'acheter, de vendre et de stocker des Bitcoin, des Ethereum, des Ethereum classic, des Litecoin et des Bitcoin Cash. Il est détenu par une société basée à San Francisco, aux États-Unis.
« J'ai perdu 100 000 $ mercredi dernier. Il s'est évaporé en l'espace de 24 heures lors d'une attaque de portage SIM qui a vidé mon compte Coinbase. Ce fut la leçon la plus chère de ma vie et je souhaite partager mon expérience en plus des leçons que j’ai apprises avec autant de personnes que possible. Mon objectif est d'accroître la sensibilisation sur ces types d'attaques et de vous motiver à renforcer la sécurité de votre identité en ligne. », a-t-il écrit dans son poste sur Medium. Pour finir, il propose quelques mesures pour sécuriser son adresse de messagerie et éventuellement d'autres services en ligne liés à ce compte. En voici quelques-unes de ces mesures :
- utilisez un portefeuille matériel pour sécuriser votre compte de cryptomannaie : déplacez vos gains vers un portefeuille matériel, un stockage hors connexion, ou un portefeuille multisignature lorsque vous n'effectuez pas de transaction. Ne laissez pas les fonds inutilisés dans les échanges ou sur les bretelles d'accès ;
- le SMS basé sur 2FA ne suffit pas: quels que soient les actifs ou les identités que vous tentez de protéger en ligne, passez à la sécurité matérielle (par exemple, un élément physique qu'un attaquant devrait physiquement obtenir pour pouvoir lancer une attaque). Bien que Google Authenticator et Authy puissent transformer votre appareil mobile en une sécurité matérielle, je vous conseillerais d'aller plus loin. Prenez une YubiKey que vous contrôlez physiquement et que vous ne pouvez pas être falsifiée ;
- réduisez votre empreinte en ligne : réduisez l'envie de partager inutilement des informations personnellement identifiables (date de naissance, lieu, images, données de géolocalisation incorporées, etc.) en ligne. Toutes les données quasi publiquement disponibles peuvent être retournées contre vous en cas d'attaque ;
- utiliser Google Voice 2FA : dans certains cas, un service en ligne ne prend pas en charge la 2FA basée sur le matériel (il repose sur une 2FA basée sur SMS plus faible). Dans ces cas, vous feriez peut-être mieux de créer un numéro de téléphone Google Voice (qui ne peut pas être porté par la carte SIM) et de l'utiliser avec votre numéro de récupération d'authentification à 2 facteurs ;
- créer une adresse électronique secondaire : au lieu de tout lier à une seule adresse électronique, créez une adresse secondaire pour vos identités en ligne essentielles (comptes bancaires, comptes de médias sociaux, échanges cryptographiques, etc.). N'utilisez cette adresse électronique pour rien d'autre et gardez-la privée. Sauvegardez cette adresse avec une forme de 2FA basée sur le matériel ;
- utiliser un gestionnaire de mots de passe hors connexion : utilisez un gestionnaire de mots de passe pour vos mots de passe. Encore mieux, utilisez un gestionnaire de mots de passe hors connexion tel que Password Store.
« Compte tenu de mes pratiques de sécurité naïves, j’ai probablement mérité d’être piraté, je l’ai compris. Je n'ai jamais pris ma sécurité en ligne aussi sérieusement parce que je n'avais jamais subi d'attaque. Et même si j’ai compris mon profil de risque, j’étais tout simplement trop paresseux pour protéger mes actifs avec la rigueur qu’ils méritaient », a-t-il conclu. Il invite tout le monde à s’assurer d'une bonne sécurité en ligne pour éviter d’être surpris par ce genre d’attaque.
Source : Medium
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’authentification à double facteur ?
Quelle autre mesure de sécurité en ligne proposeriez-vous ?
Voir aussi
Des hackers ont attaqué les ordinateurs de la ville de Baltimore au ransomware, bloquant l'accès à certains services essentiels depuis deux semaines
356 millions USD de cryptomonnaies volés au cours des trois premiers mois de 2019, selon un rapport de CipherTrace
Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google