histats

Authentification multifacteur par SMS : qu’est-ce qui peut mal tourner ? Beaucoup

Authentification multifacteur par SMS : qu’est-ce qui peut mal tourner ?  Beaucoup

L’authentification multifacteur est élégante de nos jours. Tous les sites vous demandent de l’activer, et pour cause. Lorsqu’une violation de données expose le fait que votre mot de passe est “mot de passe”, les personnes malveillantes ne pourront toujours pas accéder à votre compte car elles ne disposent pas du deuxième facteur d’authentification. Habituellement, il s’agit d’un code qui est soit envoyé à votre téléphone, soit envoyé via une application d’authentification.

Ces deux méthodes semblent similaires, mais la première s’avère être un risque majeur pour la sécurité. Dans une présentation engageante par équipe à Black Hat, Thomas Olofsson et Mikael Byström, CTO et responsable de l’OSINT chez FYEO respectivement, ont démontré une technique qu’ils appellent smishmash pour prouver que l’utilisation de messages texte pour votre proche est très risquée.


Qu’est-ce que FYEO ? Qu’est-ce qu’OSINT ? Qu’est-ce que le Smishing ?

Selon leur site Web, FYEO est “Cybersecurity for Web 3.0”, ce qui signifie qu’il promeut un Internet décentralisé, ainsi qu’une économie et une sécurité décentralisées. FYEO est également utilisé par certains pour signifier rien que pour vos yeux – des nuances de James Bond !

Quant à OSINT, c’est l’abréviation de open source intelligence, et le terme était très présent chez Black Hat. Cela signifie la collecte et l’analyse d’informations librement disponibles pour développer des renseignements utiles. C’est incroyable ce qu’un chercheur dévoué peut trouver sur la base d’informations qui ne sont en aucun cas cachées.

See also  Rockstar Games bloque les réponses des médias sociaux après un incident de piratage

Vous avez entendu parler de l’hameçonnage – la technique par laquelle des fraudeurs intelligents vous poussent à vous connecter à une copie d’une page bancaire ou à un autre site Web sécurisé, volant ainsi vos informations de connexion. Les liens de phishing arrivent généralement par e-mail, mais les messages SMS sont parfois le support. Dans ce cas, nous utilisons le beau terme de smishing.


Pourquoi les textes sont-ils incertains ?

“Nous appelons cela smishmash parce que c’est un mélange de techniques”, explique Olofsson. “SMS pour l’authentification à deux facteurs [2FA] est détruit. Ce n’est pas une nouvelle; il a été brisé depuis sa création. Il n’a jamais été destiné à cet usage. Nous usurpons des messages texte depuis aussi longtemps que nous piratons. C’est juste que maintenant nous voyons des armes.

Les SMS ont une confiance implicite plus élevée que les escroqueries par e-mail, et donc un taux de réussite plus élevé, note-t-il. Olofsson a connu plusieurs violations dignes d’intérêt impliquant le smishing et la 2FA, y compris un vol majeur de NFT d’OpenSea. “Nous constatons une énorme augmentation du nombre d’attaques par smishing”, dit-il. « Combien d’entre vous ont reçu un SMS non sollicité la semaine dernière ? Vos numéros de téléphone sont de plus en plus divulgués.”

“Ce que nous avons fait [is combine] une recherche dans le clear-net et le darknet pour créer une énorme base de données », explique Byström.

“En faisant cette enquête, nous avons reçu tellement de spams”, ajoute Olofsson. “Tu veux même acheter la liste des participants Black Hat ?” Nous avons fait baisser le prix à moins de 100 $.”

See also  A party for the South Range | News, sports, jobs

“Auparavant, les informations d’identification divulguées étaient des noms d’utilisateur et des mots de passe”, explique Olofsson. “Maintenant, si vous avez un nom d’utilisateur, un mot de passe cassé et un numéro de téléphone, vous avez de très bonnes chances de dépasser 2FA. Nous avons une base de données de 500 millions de numéros de téléphone, nous pouvons donc lier une adresse e-mail sur cinq à un numéro de téléphone. . »


Comment fonctionne une violation 2FA ?

“Le moyen le plus courant de tromper 2FA est de lancer une réinitialisation du mot de passe, puis de tromper l’appareil”, explique Olofsson. “Nous avons examiné six attaques réelles et trois impliquent la récupération de compte. En général, le processus de récupération de compte est très laxiste.”

Recommandé par nos rédacteurs

Le SMS a été développé dans les années 80 et le premier SMS a été envoyé en 1992. « Il n’a jamais été conçu pour être sécurisé. Il n’y a pas de somme de contrôle, pas de confirmation de l’expéditeur, rien. Et il y a plusieurs façons d’envoyer des SMS”, dit-il. “Manuellement avec votre téléphone, duh. Envoyez-le via un modem avec un ancien téléphone. Ou utilisez un service API.”

Ce faux est ce que le duo a démontré à Black Hat. Par la suite, Olofsson a souligné que vous ne pouvez acheter que la technologie pour mener à bien ces attaques. « Pour 160 $, vous pouvez acheter du matériel personnalisé auprès d’Alibaba pour ce faire », dit-il en montrant une page du site Web. “Même ceux qui peuvent gérer 64 attaques à la fois. Ils peuvent usurper l’IMEI, usurper l’expéditeur du SMS. C’est une sorte de secret bien connu – ils les commercialisent en fait.”

See also  Les joueurs de GTA Online découvrent une ressource secrète de GTA 6 ajoutée par Rockstar il y a 4 ans

L’équipe a passé en revue certaines méthodes techniques et certains services que les organisations pourraient utiliser pour se protéger contre cette attaque, bien qu’il soit clair que la meilleure solution consiste simplement à éviter de s’appuyer sur les SMS. Ils ont également offert l’intégralité de la base de données, avec des mots de passe hachés et illisibles, aux participants de Black Hat, afin que chacun puisse vérifier si son numéro de téléphone était exposé. Les chercheurs en sécurité entièrement accrédités peuvent négocier l’accès à la version complète et non hachée.

La leçon est claire. Pour tout site qui vous donne le choix, ne choisissez pas l’authentification par SMS. S’il s’agit d’un compte important qui n’offre pas d’autre choix, comme votre banque, contactez l’organisme et demandez-lui de faire mieux.

Aimez-vous ce que vous lisez?

S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *