Google a beaucoup diversifié son offre au fil des années et l’entreprise compte désormais des dizaines de services différents à son catalogue, des services tous accessibles à l’aide d’un compte unique. Pour aider les internautes à sécuriser leurs données, la firme a donc considérablement renforcé ses systèmes afin de les rendre plus sécurisés.
Le géant du net propose en effet depuis plusieurs années maintenant un système de sécurité renforcé : l’authentification à double facteurs ou 2FA.
Le système consiste à donner un mot de passe puis un code secret et personnalisé à chaque fois qu’on se connecte à un autre appareil que son téléphone ou son ordinateur personnel. Comme l’explique Michel Salat de chez Avast, le but est de « protéger les comptes contre l’usurpation des mots de passe par des personnes malveillantes. »
Si la parade s’est révélée jusqu’ici efficace, un rapport détaillé d’Amnesty International vient cependant de dévoiler que des pirates informatiques sont parvenus à contourner ce mécanisme de sécurité de Google pour accéder facilement aux contenus de Gmail.
Possible grâce au phishing
Dans son rapport, Amnesty International explique comment les hackers font pour passer outre le système 2FA. L’association indique ainsi que c’est grâce au phishing que l’opération a été rendue possible.
Les pirates rusent pour diriger leurs victimes vers un faux site où il faut s’enregistrer par le biais d’un code 2FA.
Les cibles doivent ensuite remplir un formulaire dédié au changement de mot de passe. C’est ainsi que les hackers parviennent à mettre la main sur le code et l’utiliser pour s’infiltrer dans les boites Gmail de leurs victimes avant qu’elles n’aient le temps de changer de mot de passe.
Des cibles particulières
Si on en croit les informations récoltées par Amnesty International, les cyberattaques contre le système 2FA de Google ne sont pas nouvelles.
Les hackers seraient parvenus à pirater des milliers de comptes Gmail, mais aussi Yahoo depuis 2017.
Le rapport précise également que les attaques informatiques ciblent particulièrement des journalistes ainsi que des activistes du Moyen-Orient ainsi que ceux d’Afrique du Nord. Pour l’instant, rien n’a permis d’identifier les auteurs des attaques, mais Amnesty International suggère que les pirates pourraient être originaires des pays du golf Persique.
En attendant d’en savoir plus, il vaut mieux rester sur ses gardes et rester au courant des dernières techniques de sécurité en ligne.
En lisant le titre de l’article, je me suis dis chapeau, ces “hackers” ont cassée la double authentif alors que c’est censé être sûr car on utlise un code unique, généré par un outil adéquat et associé à un numéro de téléphone. Mais en fait non, il y a eu tout simplement pishing à cause de l’individu derrière l’écran/clavier qui n’est pas assez prudent. Finalement article racoleur. On ne m’y reprendras pas plus. Enfin j’espère ^^
Le titre ne dit que pas que le système a été hacke ou cassé mais battu. Il n’y a rien de racoleur à mon sens.
Pardon je rectifie. En lisant le titre de l’article, je me suis dis chapeau, ces “hackers” ont
casséebattu la double authentif…Pardon encore une fois mais en quoi ont ils battu la double authentif, je veux dire par là le système à double authentification ? Je cite l’article “Les pirates rusent pour diriger leurs victimes vers un faux site où il faut s’enregistrer par le biais d’un code 2FA.” Donc on est bien d’accord que le google 2FA n’est pas battu dans le sens où ils n’ont pas pu entrer dans le système de génération de la double authentif mais bien en ayant eu le code par un moyen détourné. Du pishing quoi. CQFD.
Ou alors l’auteur de l’article s’est compris en l’écrivant, mais pas moi, désolé, en le lisant!
Bah on lit cette news sur un paquet de sites qui la titrent toujours un peu de la même manière… Alors qu’au final c’est du phishing, peu importe la techno derrière… C’est racoleur d’évoquer que la techno (2fa) semble faillible alors que c’est juste l’humain au final…