Des bots permettent aux pirates de pénétrer sans effort et de manière convaincante dans les comptes Coinbase, Amazon, PayPal et bancaires,

Malgré l'utilisation de l'authentification à deux facteurs

Une récente étude du média canado-américain Vice (Motherboard) suggère que le mécanisme d'authentification à deux facteurs (2FA) ne protège pas les utilisateurs aussi bien qu'on le croit. L'étude met en lumière une vulnérabilité de sécurité de l'utilisation de l'OTP (one-time password) par SMS pour la 2FA. Faisant preuve d'un nouveau niveau d'ingéniosité, les cybercriminels utilisent désormais des bots pour cibler Apple Pay, PayPal, Amazon, Coinbase et un large éventail de banques spécifiques, afin de voler les codes 2FA à usage unique, dans l'intention de prendre le contrôle du compte.

Les bots OTP menacent l'authentification à deux facteurs

Les services informatiques de tous les secteurs d'activité mènent une lutte constante pour protéger les réseaux d'entreprise contre les pirates et les fraudeurs. Les responsables de la cybersécurité emploient plusieurs méthodes pour assurer la sécurité et l'intégrité des données des organisations, dont l'une des plus populaires est l'authentification à deux facteurs (2FA). L'authentification à deux facteurs offre un niveau de protection supplémentaire pour les comptes d'utilisateur qui, sans être inexpugnable, réduit considérablement le risque d'accès non autorisé et de violation du système.


L'utilisation de la 2FA est étonnamment faible parmi les utilisateurs finaux, tant dans les environnements d'entreprise que dans la communauté des utilisateurs au sens large. Google, par exemple, a révélé au début de l'année que très peu d'utilisateurs de Gmail ont activé les mesures de sécurité 2FA disponibles pour protéger leur compte. La société a ensuite annoncé qu'il prévoyait de faire passer de force le plus grand nombre possible d'utilisateurs à la 2FA. Elle a donné plus de détails en octobre, disant qu'elle prévoyait d'inscrire automatiquement 150 millions de comptes Gmail à l'authentification à deux facteurs d'ici la fin de l'année.

Outre Google, plusieurs autres entreprises de services en ligne - notamment Facebook, Apple, PayPal, etc. - encouragent leurs utilisateurs à activer la 2FA. Toutefois, même si la plupart de ces entreprises plébiscitent la 2FA, elles sont conscientes qu'elle n'est pas inviolable. L'étude de Motherboard, intitulé "The Booming Underground Market for Bots That Steal Your 2FA Codes", a exposé une vulnérabilité de sécurité de l'utilisation de l'OTP par SMS pour la 2FA. Elle a révélé que les cybercriminels se servent désormais de ce que l'équipe de recherche appelle "les bots OTP" pour renforcer leur stratégie de prise de contrôle des comptes.

Ils ne se contentent plus d'utiliser des bots pour automatiser la tâche consistant à tester d'énormes volumes d'informations d'identification volées dans le cadre d'attaques par bourrage d'informations d'identification. Selon les chercheurs, l'utilisation de bots OTP augmente le risque de prise de contrôle de comptes, car les applications utilisant le protocole OTP par SMS comme authentification à deux facteurs peuvent également être compromises. L'étude estime que le protocole OTP par SMS ne fait que créer une illusion de sécurité.

Mais qui est exposé au risque des bots OTP ? Dans une récente étude d'Incognia, une entreprise de cybersécurité, sur les méthodes d'authentification utilisées par les principales applications mobiles bancaires et fintech, la grande majorité des applications (17 sur 20) s'appuient toujours sur le protocole OTP par SMS pour l'authentification à deux facteurs. Cela signifie que les bots OTP représentent une menace pour de nombreuses applications de services financiers de premier plan.

Quel est le mode de fonctionnement des bots OTP ?

Selon l'étude, les cybercriminels utilisent désormais des outils automatisés pour contacter les utilisateurs en leur faisant croire qu'ils sont contactés par l'entreprise. À l'aide de scripts automatisés transmis par la voix ou le texte, le bot OTP demande à l'utilisateur de partager le mot de passe à usage unique qui lui a été envoyé pour vérifier la sécurité de son compte - au lieu de cela, le bot OT l'utilise pour accéder au compte de l'utilisateur et en prendre le contrôle. Voici un exemple typique qui a été repéré par l'équipe de recherche.


Un détenteur d'un compte PayPal a reçu un appel prétendument provenant du système de prévention des fraudes de la société. La voix au bout du fil lui a notifié que quelqu'un avait essayé d'utiliser son compte pour dépenser 58,82 dollars. PayPal devait donc vérifier son identité pour bloquer le transfert. « Afin de sécuriser votre compte, veuillez saisir le code que nous avons envoyé à votre appareil mobile maintenant », a déclaré la voix. PayPal envoie parfois un code par SMS aux utilisateurs afin de protéger leur compte. Après avoir saisi une chaîne de six chiffres, la voix a dit : « Merci, votre compte a été sécurisé et cette demande a été bloquée ».

« Ne vous inquiétez pas si un paiement a été débité sur votre compte : nous le rembourserons dans les 24 à 48 heures. Votre numéro de référence est 1549926. Vous pouvez maintenant raccrocher », a ajouté la voix. Cependant, l'appel ne provenait pas de PayPal, mais d'un pirate informatique. Le fraudeur a utilisé...