La couche de sécurité standard pour de nombreuses boites de messagerie est obsolète pour de nombreux hackers. Les hackers recommandent d’ajouter une étape supplémentaire.

Qu’on se le dise tout de suite, un mot de passe n’est aujourd’hui pas suffisant pour protéger un compte ou une boite de messagerie. Qu’en est-il de la double authentification, alors ? Depuis quelques années, que ce soit sur Gmail, Outlook ou Facebook, vous pouvez configurer la demande d’un second mot de passe lors d’une connexion à une session. Généralement, vous recevez un message avec un mot de passe unique ou un bouton d’authentification sur votre smartphone. À première vue, cette étape de sécurité devrait empêcher toute connexion extérieure. C’est sous-estimer les hackers. Dans les faits, la double authentification n’empêche pas les piratages depuis quelques années déjà.

Les hackers du célèbre groupe Lapsus$, connus pour avoir volé des données à Microsoft, ou les pirates russes de Nobelium, responsables de l’attaque contre SolarWinds, sont parvenus à contourner la double authentification lors des connexions aux messageries des entreprises victimes.

Pascal Le Digol, directeur France de WatchGuard, nous décrit quelques techniques : « Parmi les méthodes courantes, on peut citer l’ingénierie sociale. Le pirate se place entre le site et l’utilisateur pour directement récupérer le code de connexion. Il peut, par exemple, le tromper en envoyant une fausse page où la victime tapera un mot de passe. On a repéré d’autres procédés comme la capacité de rediriger des SMS pour se connecter en payant ou piratant l’opérateur. »

« Ajouter de nouvelles étapes »

De nombreuses autres techniques existent et ont été mises en pratique par les hackers. La force brute – un bot génère sans arrêt de nouvelles combinaisons – peut-être utilisée pour tenter des milliers de codes jusqu’à tomber sur le bon. Un vol de cookie de session peut permettre au hacker de retrouver le token permettant de se connecter au compte de la victime ou de se faire passer pour lui. Plus simple, si un pirate accède à votre messagerie en trouvant les codes sur le darknet, il peut contourner la 2FA sur certains comptes en réinstallant le mot de passe. Des malfaiteurs sont même parvenus à copier le signal d’un boitier d’authentification 2FA qui demande un clic de son propriétaire. Bien évidemment, cela demande d’énormes ressources et beaucoup de temps de la part des pirates. Robert A. Grimes, expert en cybersécurité, détaille douze manières de briser la double authentification dans un rapport en ligne.

Cnil-2FA
La biométrie ajoute une couche de sécurité supplémentaire, mais demande de donner ses empreintes digitales à une société. // Source : Cnil

« Tout est une question de couche de sécurité. Plus on en rajoute, et plus on complique la tâche pour le malfaiteur. Le pirate réfléchit à la rentabilité, il cherche l’attaque qui lui demande le moins de temps et de moyens. Certains prennent même plaisir à trouver quelques méthodes innovantes à contourner un 2FA », nous explique Pascal Le Digol.

Naturellement, l’internaute ne peut pas installer des authentifications multicouches pour chaque site. Déjà, cela ruinerait l’expérience d’utilisateur, mais ce dernier agit également avec les outils qu’il a en main, et tous les sites ne proposent pas de 2FA. Pour les comptes sensibles, les experts nous recommandent d’installer la MFA – authentification multifacteur – qui demande de taper un code plus une autre étape de vérification, : répondre à une question, apposer une empreinte digitale ou appuyer sur une clé USB de sécurité. Évidemment, les hackers les plus talentueux trouvent déjà des manœuvres pour contourner ces barrières. Il faut se rendre à l’évidence, c’est une compétition sans fin entre les entreprises de cyber et les pirates.