Un hacker prouve qu’il est facile de pirater l’authentification à deux facteurs.

Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer sur des liens.

Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l’introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L’authentification à deux facteurs (2FA) est considérée comme un moyen d’améliorer considérablement la sécurité, mais il s’avère que leur contournement est assez simple. Notamment les utilisateurs de Facebook qui ont été presque obligé d’utiliser cette méthode de protection anti-piratage.

Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Il a déjà démontré à quel point il est facile de saisir les détails d’un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui pirater ses identifiants de connexion et son accès au site. L’outil Evilginx que Kevin a utilisé pour l’aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.

L’attaque est simple. Il nécessite un e-mail qui semble « correct » pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé.

Si vous cliquez sur le bouton « Connexion » dans l’e-mail, l’internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C’est un autre point auquel un utilisateur suspect va s’arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.

Pendant ce processus, il est possible de pirater le nom d’utilisateur, le mot de passe et le cookie de session du compte LinkedIn. À ce stade, le nom d’utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L’accès est alors accordé.

Ce que Mitnick essaie de prouver est, même avec 2FA, l’utilisateur est le maillon faible. S’il ne prend pas le temps de vérifier où il entre ses informations sécurisées, aucune sécurité dépendant de l’utilisateur, aussi forte soit-elle, ne fonctionnera.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage