Il se fait voler 100 000 $ de son compte Coinbase par des pirates

Qui ont pu violer l'authentification à deux facteurs

Au fur et à mesure que les chercheurs en sécurité apportent des solutions pour sécuriser nos informations en ligne, les pirates se mettent également à pied d’oeuvre pour trouver des contournements à ses différentes mesures de sécurité. L’une des mesures de sécurité les plus utilisées ces dernières années par les promoteurs de services en ligne pour assurer la sécurité de leurs clients est l’authentification à deux facteurs. Bien qu’elle soit le plus souvent décrite comme étant très efficace contre l’usurpation d’identité et le vole de données sensibles, il semblerait qu’elle ne soit pas totalement inviolable par certaines formes d’attaques.

En informatique, « ce qui est sécurisé à 99 % n'est pas sécurisé », dit-on. L’authentification à doubles facteurs échappe-t-elle à la règle ? Eh bien non. Comme vous le savez, l'authentification à double facteur (2FA pour Two-Factor Authentication) est un processus de sécurité par lequel l'utilisateur fournit deux modes d'identification à partir de catégories de données distinctes : l'une se présente généralement sous la forme d'un jeton physique, comme une carte, et l'autre sous forme d'informations mémorisées, par exemple un code de sécurité. Ces deux facteurs représentent une chose possédée et une chose sue. Une carte SIM de téléphone par exemple peut servir comme deuxième facteur dans une d'authentification à double facteur.

La carte elle-même constitue l'élément physique. Elle vous permet de confirmer votre identité sur des services en ligne. En cas de comportement suspect lié à vos divers services en ligne, par exemple votre messagerie Gmail, Google pourrait se servir de votre numéro de téléphone pour s’assurer de votre identité en vous demandant de confirmer un code de vérification envoyé à votre numéro. Ce type d'authentification permet de réduire l'incidence de fraudes en ligne, telles que l'usurpation d'identité et l’hameçonnage, étant donné que le mot de passe de la victime ne suffit pas à accéder aux informations. Cependant, elle peut également être contournée.

Le SimSwap est un exemple de faille de l’authentification à deux facteurs. En effet, l'escroquerie d'échange SIM (également connue sous le nom d'escroquerie Port-Out ou fractionnement SIM) est un type de fraude à la prise de contrôle de compte qui cible généralement une faiblesse de l'authentification à deux facteurs et de la vérification en deux étapes, où le deuxième facteur d’authentification est un SMS ou un appel passé sur un téléphone mobile. La fraude est centrée sur l'exploitation de la capacité d'un opérateur de téléphonie mobile à transférer de manière transparente un numéro de téléphone sur une nouvelle carte SIM, également appelé le portage de SIM. Cette fonctionnalité est normalement utilisée lorsqu'un client a perdu ou s’est fait voler son téléphone.

L’escroquerie commence par un fraudeur qui rassemble des détails sur la victime, soit en utilisant des courriels de phishing, soit en les achetant à des criminels organisés ou soit en procédant directement à l’ingénierie sociale de la victime. Une fois que le fraudeur a obtenu ces informations, il contacte le fournisseur de téléphonie mobile de la victime. Le fraudeur utilisera des techniques d'ingénierie sociale pour convaincre la compagnie de téléphone de porter le numéro de téléphone de la victime sur la carte SIM du fraudeur.


Par exemple, en imitant la victime et en affirmant avoir perdu son téléphone. Le fraudeur devra convaincre ensuite la victime d’approuver le remplacement de la carte SIM. Une fois que cela se produit, le téléphone de la victime perdra sa connexion au réseau et le fraudeur recevra tous les SMS et appels vocaux destinés à la victime. Cela permet au fraudeur d'intercepter tout mot de passe à usage unique envoyé par SMS ou par appel téléphonique à la victime.
En résumé, ce genre d'attaque est un exploit malveillant exécuté par une source non autorisée, l’attaquant, qui utilise le service de portage SIM.

Il attaque votre carte SIM avec...