La protection des donnes et des utilisateurs représentent d’important challenges dans le secteur. Contre les piratages et attaques de phishing, des fournisseurs de plateformes en ligne ont fait le choix de la protection à deux facteurs. Mais des experts en sécurité digitales mettent en garde contre le fait que la 2FA n’est pas un dispositif à toute épreuve.

Des méthodes d’attaques simplifiées

Les attaques de phishing consistent à mettre au point un site web similaire à celui visé mais hébergé par l’attaquant afin que l’utilisateur lui transmette ses identifiants par le biais d’une fausse page de connexion sans en être au courant.

Pour accéder aux comptes des utilisateurs, les attaquants doivent faire en sorte que leur site de hameçonnage soit reconnu comme intermédiaire entre les utilisateurs victimes et les sites webs légitimes. Le but étant d’obtenir, non seulement des identifiants et mots de passe mais également des cookies. Ces derniers lui permettront d’accéder aux comptes auxquels ils sont associés, sans avoir besoin de s’identifier.

Cette technique déjà utilisée nécessitait des connaissances techniques et impliquait la configuration manuelle de plusieurs outils. Cependant les systèmes de sécurité de certains sites webs pouvaient empêcher ces tentatives d’agression ou de phishing en utilisant des technologies telles que SRI (Subresource Integrity) ou CSP (Content Security Policy).

computer 1591018 960 720

Deux outils

Désormais, deux outils ont été conçus, Muraena et NecroBrowser. Rendant possible l’exécution automatique de la majeure partie des procédures. Ceci étant, un plus grand nombres d’attaquants seraient capables de passer outre les défenses des sites webs, y compris la 2FA. Ces outils ont été créés par les chercheurs Michele Orru, ancien développeur du Browser Exploitation Framework Project (BeEF), et Giuseppe Trotta, membre du projet Bettercap.

Présentés à la conférence Hack In the Boxces outils démontrent à quel point les hackers sont devenus plus efficaces pour contourner les différentes couches de sécurité mises en place sur les sites webs.

Ils ont été développés pour mettre en évidence le fait qu’il est possible de contourner les systèmes de sécurité de manière automatique. Démontrant que les technologies SRI et CSP ne sont pas à toutes épreuves et peuvent être contournés de façon automatisées.

Muraena intercepte le trafique entre le site et l’utilisateur victime pour ensuite transferer les données sur NecroBrowser, qui créera une fenêtre permettant de suivre les comptes privés de milliers de personnes.

Pas d’autres solutions en vue

Malgré l’apparition de nouvelles méthodes de hack, 2FA est toujours considéré par les experts comme étant la meilleure solution en terme de sécurité devant l’authentification par identifiant et mot de passe.

Les experts insistent sur le fait d’être vigilant sur internet, faire attention aux e-mails suspects, vérifier l’adresse d’un site avant d’y entrer ses identifiants et de ne pas hésiter à les changer rapidement si vous avez un doute sur leur confidentialité.

Universal Second Factor (U2F) serait une solution à envisager si disponible. U2F est une clef physique externe qui peut être insérée dans un ordinateur afin de s’assurer de l’identité d’un utilisateur, après qu’il ait entré ses identifiants.

 

 


Vous souhaitez en apprendre plus? Retrouvez nos articles en lien avec ce sujet :

“Microsoft annonce VeriSol : Vérification intelligente des contrats Ethereum”
“Justin Sun remporte une enchère caritative de 4,57 M$ sur eBay pour un déjeuner avec Warren Buffett”
“Un tier des Ethereums sont détenus par seulement 376 personnes”

 

 

Share This