Il est possible de hacker un compte protégé par la double authentification

Gmail, LinkedIn, FacebookTwitter et la plupart des services en ligne proposent un système de double authentification afin d’améliorer la sécurité des comptes de leurs utilisateurs. Si vous pensiez que le fait d’activer cette option suffisait à protéger votre compte, alors vous allez vite déchanter car il existe une méthode pour contourner cette protection.

La double authentification porte plutôt bien son nom car elle consiste à s’appuyer sur deux facteurs différents pour déterminer l’identité d’un utilisateur.

Faille authentification

L’authentification en deux étapes n’est pas aussi sécurisée que vous le pensez.

Un exemple ? Si vous l’activez sur votre compte Twitter, alors il ne suffira pas de saisir votre mot de passe pour accéder à votre profil et à votre timeline. Il faudra également taper un code envoyé par message texte sur votre téléphone.

Tout est de la faute du SS7 !

Même chose pour Gmail et pas mal d’autres services du même genre.

La plupart des gens pensent que ce système suffit à assurer la sécurité de nos comptes mais ce n’est pas du tout le cas et les chercheurs en sécurité de Positive Technologies ont tenu à le rappeler dans leur dernier rapport, un rapport portant sur une faille située au niveau du SS7, ou Signaling System 7 pour les intimes.

Cet ensemble de protocoles est utilisé par la plupart des opérateurs téléphoniques et il permet entre autres choses d’acheminer les appels et les messages d’un numéro à l’autre.

Mais voilà, le problème c’est qu’il n’est pas tout jeune et il date ainsi des années 80. Inutile de le préciser mais les technologies de l’époque n’étaient pas forcément très sécurisées et de nombreux experts ont tiré la sonnette d’alarme par le passé.

Durant la Chaos Communication Congress 2014, des hackers avait même montré qu’il était très facile de récupérer la géolocalisation d’un téléphone en s’attaquant à ces fameux protocoles.

Oui, et il est aussi possible de rerouter les SMS et les appels de n’importe quel numéro connu vers un autre numéro de téléphone en s’appuyant sur des solutions dédiées. Ce n’est pas forcément simple à faire mais cela reste à la portée des hackers les plus expérimentés et c’est précisément ce que prouve la démonstration suivante.

https://www.youtube.com/watch?v=wc72mmsR6bM

Et un zeste de phishing en plus

Là, vous allez me dire qu’il y a peu de chances qu’une personne mal intentionnée s’attaque à votre ligne et vous n’aurez pas forcément tort.

Toutefois, il existe aussi une autre méthode un peu plus perverse, une méthode qui commence à se répandre de l’autre côté de l’océan et qui est encore peu connue en France : le phishing par SMS.

Cette technique est beaucoup plus simple à mettre en place car il suffit de connaître le numéro de téléphone de votre cible pour lancer l’attaque. Le pire, c’est que c’est vraiment très facile à faire.

Gmail, par exemple, propose un système de récupération de mot de passe basé sur l’authentification en deux étapes. Il suffit ainsi de se rendre sur le service et de saisir un code envoyé par la firme dans un champ pour pouvoir modifier le mot de passe du compte.

Si vous le faites pour votre cible, alors vous n’aurez qu’à lui envoyer un second SMS depuis une ligne qu’il ne connaît pas pour lui mettre la pression et lui demander de vous envoyer ce code. Comment ? En vous faisant passer pour Google, par exemple.

C’est en tout cas la technique qui a été utilisée contre Alex MacCaw, le co-fondateur de Clearbit. Fort heureusement pour lui, il connaît bien le web et il ne s’est pas laissé avoir.

La morale de l’histoire ? Utiliser un système de protection ne vous dispense pas de réfléchir avant d’agir. Dans la plupart des cas, la plus grosse faille se trouve entre l’écran et le dossier de la chaise et Kevin Mitnick pourrait sans doute vous en parler mieux que moi.