Après la création d’un mot de passe fort, la ligne directrice de sécurité la plus récurrente dans les médias en ligne est d’utiliser, dans la mesure du possible, une authentification en deux étapes . Mais rien n’est sûr à 100% : récemment, un groupe de hackers sympathisants du gouvernement iranien a réussi à contourner ce type de protection dans des services tels que Gmail et Yahoo Mail.
L’authentification en deux étapes elle-même n’a pas été rompue. Ce que les envahisseurs ont fait, c’est mener une campagne sophistiquée de phishing visant les politiciens, les militants et les journalistes liés au gouvernement américain et à d’autres pays pour accéder à leurs comptes de messagerie.
La première étape a consisté à recueillir des informations sur les victimes afin d’envoyer des messages d’avertissement contenant suffisamment de données pour les convaincre que l’avertissement était légitime ? alors qu’il ne s’agissait que d’un piège.
La plupart du temps, le courriel indiquait que le compte avait été consulté par un tiers et demandait si l’utilisateur reconnaissait cette activité. Lorsque la personne cliquait sur “non”, elle était généralement dirigée vers une fausse page de sécurité hébergée sur les sites Google pour les victimes ayant un compte Gmail. Comme l’adresse de ce service est sites.google.com, il semblait que la page était bien réelle.
Mais ce n’était pas le cas. L’utilisateur était confronté à une page de connexion très similaire à celle de Google, mais fausse. Ainsi, en entrant l’adresse électronique et le mot de passe, ces informations ont fini par être envoyées aux envahisseurs. Mais en raison de l’authentification à deux facteurs, il n’y avait pas lieu de s’inquiéter, n’est-ce pas ? C’est là que se trouve le grand truc.
Les messages de fausse alerte contenaient une image cachée qui, une fois chargée, avertissait les pirates que le courriel venait d’être lu. Ils étaient donc en attente. Lorsque les victimes ont saisi leurs données de connexion sur le faux site, elles ont immédiatement reçu ces informations et les ont saisies sur une vraie page Gmail ou, selon le cas, Yahoo Mail.
Si un code d’authentification à deux facteurs était demandé, l’utilisateur était redirigé vers une autre fausse page pour entrer cette information. Presque instantanément, les agresseurs ont reçu le code et ont pu accéder au compte de la victime.
Certfa, une organisation de sécurité qui enquête sur les incidents en ligne en Iran, a prouvé dans ses recherches que l’astuce fonctionnait avec des comptes protégés par authentification sur deux facteurs dont le code était envoyé par SMS.
Il n’y a pas eu d’enregistrement de victimes parmi les utilisateurs qui obtiennent le code via des applications telles que Google Authenticator. Les chercheurs de Certfa avertissent toutefois que le piège peut également fonctionner avec des applications de ce type. La seule différence est que les risques de problèmes finissent par être beaucoup plus faibles ici, car le code est renouvelé à très court terme, généralement dans les années 30.
