Il est possible de hacker un compte protégé par la double authentification

Gmail, LinkedIn, FacebookTwitter et la plupart des services en ligne proposent un système de double authentification afin d’améliorer la sécurité des comptes de leurs utilisateurs. Si vous pensiez que le fait d’activer cette option suffisait à protéger votre compte, alors vous allez vite déchanter car il existe une méthode pour contourner cette protection.

La double authentification porte plutôt bien son nom car elle consiste à s’appuyer sur deux facteurs différents pour déterminer l’identité d’un utilisateur.

Faille authentification
L’authentification en deux étapes n’est pas aussi sécurisée que vous le pensez.

Un exemple ? Si vous l’activez sur votre compte Twitter, alors il ne suffira pas de saisir votre mot de passe pour accéder à votre profil et à votre timeline. Il faudra également taper un code envoyé par message texte sur votre téléphone.

Tout est de la faute du SS7 !

Même chose pour Gmail et pas mal d’autres services du même genre.

La plupart des gens pensent que ce système suffit à assurer la sécurité de nos comptes mais ce n’est pas du tout le cas et les chercheurs en sécurité de Positive Technologies ont tenu à le rappeler dans leur dernier rapport, un rapport portant sur une faille située au niveau du SS7, ou Signaling System 7 pour les intimes.

Cet ensemble de protocoles est utilisé par la plupart des opérateurs téléphoniques et il permet entre autres choses d’acheminer les appels et les messages d’un numéro à l’autre.

Mais voilà, le problème c’est qu’il n’est pas tout jeune et il date ainsi des années 80. Inutile de le préciser mais les technologies de l’époque n’étaient pas forcément très sécurisées et de nombreux experts ont tiré la sonnette d’alarme par le passé.

Durant la Chaos Communication Congress 2014, des hackers avait même montré qu’il était très facile de récupérer la géolocalisation d’un téléphone en s’attaquant à ces fameux protocoles.

Oui, et il est aussi possible de rerouter les SMS et les appels de n’importe quel numéro connu vers un autre numéro de téléphone en s’appuyant sur des solutions dédiées. Ce n’est pas forcément simple à faire mais cela reste à la portée des hackers les plus expérimentés et c’est précisément ce que prouve la démonstration suivante.

https://www.youtube.com/watch?v=wc72mmsR6bM

Et un zeste de phishing en plus

Là, vous allez me dire qu’il y a peu de chances qu’une personne mal intentionnée s’attaque à votre ligne et vous n’aurez pas forcément tort.

Toutefois, il existe aussi une autre méthode un peu plus perverse, une méthode qui commence à se répandre de l’autre côté de l’océan et qui est encore peu connue en France : le phishing par SMS.

Cette technique est beaucoup plus simple à mettre en place car il suffit de connaître le numéro de téléphone de votre cible pour lancer l’attaque. Le pire, c’est que c’est vraiment très facile à faire.

Gmail, par exemple, propose un système de récupération de mot de passe basé sur l’authentification en deux étapes. Il suffit ainsi de se rendre sur le service et de saisir un code envoyé par la firme dans un champ pour pouvoir modifier le mot de passe du compte.

Si vous le faites pour votre cible, alors vous n’aurez qu’à lui envoyer un second SMS depuis une ligne qu’il ne connaît pas pour lui mettre la pression et lui demander de vous envoyer ce code. Comment ? En vous faisant passer pour Google, par exemple.

C’est en tout cas la technique qui a été utilisée contre Alex MacCaw, le co-fondateur de Clearbit. Fort heureusement pour lui, il connaît bien le web et il ne s’est pas laissé avoir.

La morale de l’histoire ? Utiliser un système de protection ne vous dispense pas de réfléchir avant d’agir. Dans la plupart des cas, la plus grosse faille se trouve entre l’écran et le dossier de la chaise et Kevin Mitnick pourrait sans doute vous en parler mieux que moi.

15 réflexions au sujet de “Il est possible de hacker un compte protégé par la double authentification”

  1. La double authentification reste aujourd’hui le moyen le plus sûr de protéger un compte !!! Dire que la double authentification n’est pas sécurisée en gros titre et avancer des explications aussi ridicule…c’est mensonger et dangereux !

    Répondre
    • Ridicules ? Ce sont des rapports d’experts et la faille en question est connue depuis plusieurs années, sans que les opérateurs ne fassent rien pour la corriger.

      Il n’y a rien de mensonger dans cet article. Dommage en revanche que votre commentaire accusateur ne contienne absolument aucun argument pour appuyer votre point de vue.

      Répondre
      • Le problème de cet article, c’est qu’il ne concerne pas la double authentification, mais plutôt une faille en rapport avec les SMS. Le vrai problème c’est de pouvoir lire les sms de quelqu’un sans son accord et donc au même titre de pouvoir avoir accès a des informations confidentielles…
        La faille n’est donc pas dans la double authentification, faire peur aux gens en leurs disant que même si ils activent la double authentification ils ne seront pas protégés, ce n’est pas leurs rendre service et surtout c’est faux ! De plus dans l’exemple c’est sur un reset de mot de passe qu’il trouve une faille donc encore une fois rien a voir avec la double authentification !

        Répondre
        • La double authentification par SMS (la plus répandue) repose sur quoi d’après toi ? Ah mais oui, les SMS. Si une technologie utilise une technologie présentant une faille, alors d’un certain sens elle présente elle aussi une faille, non ?

          Répondre
          • A quel moment est envoyé le SMS ?? A oui après avoir rentré le mot de passe !!! C’est ça la double authentification !!! ce qui veut donc dire que pour qu’il trouve le code envoyé par sms, il faut déjà qu’il est piraté le compte !! et qu’il connaisse le numéro de téléphone !!! Il pourrait aussi venir chez moi, forcer ma porte (plus facile que d’utiliser une faille SS7,) prendre mon téléphone et avoir le code !!!! Faut donc faire un article pour promouvoir les portes blindées !!!!

            Répondre
            • Si tu avais lu l’article attentivement, tu saurais que l’on peut aussi réinitialiser le mot de passe de certains comptes en demandant au service d’envoyer un code par SMS, une option justement proposée aux personnes ayant activé la double authentification.

              Tu peux d’ailleurs faire le test avec Gmail si tu veux…

              Répondre
              • Je vais arrêter d’essayer de vous faire comprendre quelque chose que vous n’avez pas envie de comprendre.
                Pour terminer cette discussion, je pense qu’il serait plus intelligent d’expliquer au gens comment bien sécuriser leurs comptes et comment activer la double authentification (sans sms si ça vous fait plaisir) que de bêtement dire :
                “Si vous pensiez que le fait d’activer cette option suffisait à protéger votre compte, alors vous allez vite déchanter car il existe une méthode pour contourner cette protection”
                Et si vous pouvez voir mon adresse mail (dans ce message) essayez donc de me faire envoyer un SMS pour voir ;)

              • les gens activant la double authentification étant plutôt connaisseurs et sans doute possesseurs d’un smartphone, je suppose peut-être à tort qu’ils utilisent plutôt une appli qui génère un code unique valable pendant quelques dizaines de secondes (typiquement Google Authenticator). Dans ce cas ça nécessite d’avoir la main sur le tél.

                Et dans tous les cas c’est toujours même par sms plus sécurisé.

                Après évidemment si tu es un cible privilégiée de la NSA ou d’un groupe de hacker international le mieux est sans de partir s’isoler dans les montagnes…

              • Ca dépend des cas. Quand tu changes fréquemment de téléphone, l’appli mobile est pas forcément adaptée et c’est du coup plus simple d’envoyer le tout par SMS.

                Après, comme c’est mentionné dans l’article, je ne dis pas que ces attaques sont faciles à orchestrées, simplement qu’elles sont possibles.

                Et tu sais, dans les montagnes, avec un bon satellite derrière, on peut faire des miracles :p

              • fréquemment je sais pas mais au pire scanner un QR code ça prend 2s et je me demande même si c’est pas contenu dans ma sauvegarde iPhone
                Perso je trouve beaucoup beaucoup plus fiable d’utiliser une appli qui fonctionne même quand tu ne peux pas recevoir de sms

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.