La double authentification (2FA) est un système de sécurité qui a fait ses preuves. Néanmoins, les pirates n'hésitent plus à exploiter ce protocole pour tenter d'accéder à vos comptes. 

Depuis de nombreuses années maintenant, la double authentification s'est imposée comme l'un des moyens les plus simples, et les plus efficaces, pour sécuriser l'accès à vos différents comptes en ligne. Vous connaissez forcément le principe : en plus de l'identifiant et du mot de passe, les services exigent une confirmation de plus pour vous connecter et valider votre identité. 

Cela passe généralement par l'envoi d'un code de sécurité unique par SMS, par mail, via une application dédiée comme Google Authenticator ou bien en exploitant la reconnaissance biométrique de votre smartphone (Face ID, lecteur d'empreinte digitale, etc.).

Malgré tout, cette méthode d'authentification n'est pas sans risque. Comme évoqué dans l'un de nos articles récents, ce protocole présente des failles non-négligeables. C'est par exemple le cas de la 2FA par SMS, vulnérable à de nombreuses techniques de piratage comme :

• le SIM Swapping (la prise de contrôle de votre carte SIM)
• les attaques de type Man-In-The-Middle (interception de vos communications SMS)
• les recyclages de numéros de téléphone

Comment repérer les arnaques à la 2FA

Comme si cela ne suffisait pas, les pirates n'hésitent pas à détourner ce système pour tenter d'accéder à vos données. Dans cet article, nous allons justement vous donner quelques conseils pour repérer plus facilement ces arnaques à la 2FA.

1. Des codes envoyés à n'importe quelle heure

Comme vous le savez, une notification 2FA légitime est envoyée systématiquement lorsque vous tentez de vous connecter à l'un de vos comptes en ligne. Pour vous forcer la main, les pirates ont une technique très simple, mais efficace : vous inondez de fausses notifications 2FA à toute heure de la journée. En agissant de la sorte, les escrocs jouent sur la patience des victimes. Pour cause, l'une d'entres elles finira bien par autoriser une notification pour mettre fin au balais incessant de ding-ding sur son smartphone.

Pour faire simple, si vous recevez une demande 2FA inattendue de votre compte Google (ou un autre service), refusez-là immédiatement et changez dès que possible votre mot de passe.

2. Des connexions sur des appareils inconnus

Lorsque vous vous connectez à un nouvel appareil sur votre compte Google, la compagnie américaine envoie systématiquement une notification 2FA contenant certaines informations essentielles : le type d'appareil et surtout sa localisation.

Forcément, les pirates imitent également ce type de notification 2FA. De fait, si vous êtes connecté sur un iPhone à Paris mais que l'invite indique que la tentative de connexion a eu lieu à Bamako ou Bombay sur un smartphone Android… Dites-vous qu'il y a anguille sous roche ! Dans ce cas précis, ne vous précipitez pas sur le bouton “Ne pas autoriser”. Généralement, il s'agit d'un lien frauduleux qui vous redirige vers une fausse page pour réinitialiser votre mot de passe.

Le mieux est d'ignorer simplement la notification en question et de se rendre ensuite sur son compte Google pour changer son mot de passe et examiner l'activité de votre compte.

A lire également : Les codes à usage unique reçus par SMS ont un nouvel argument contre eux, et pas des moindres

3. Des incohérences sur les pages de connexion de vos sites web

Sans le vouloir, vous avez peut-être cliqué sur une notification 2FA frauduleuse. Dans cette situation, les utilisateurs sont généralement redirigés vers un faux site de connexion. Comme les pirates n'ont pas accès aux serveurs et aux flux d'authentification du site légitime, ils vont tenter de reproduire certains éléments. C'est ici que des erreurs se cachent comme :

• des fautes dans l'URL et la barre d'adresse
• l'absence de chiffrement HTTPS, affiché en temps normal avec l'icône d'un cadenas dans l'URL
• des majuscules, des fautes d'orthographe, une mise en page inhabituelle et des logos aux dimensions étranges dans l'interface

4. Un site vous appelle pour obtenir votre code 2FA

On le répétera jamais assez, mais aucun service client d'un site web légitime ne vous appellera pour vous demander votre code 2FA. Pour cause, ils sont à l'origine de l'envoi et ils n'ont donc aucune raison de le faire. La seule exception à cette règle est lorsque vous demandez un appel ou un SMS de vérification via un robot lors de la connexion.

Le système automatisé peut afficher votre schéma ou vous fournir les chiffres afin de les saisir vous-même. En revanche, si quelqu'un vous appelle ou si vous recevez un message vous demandant de donner le code, il s'agit toujours d'une arnaque.

Généralement, les pirates vont jouer sur l'urgence en prétextant un défaut de paiement ou la fermeture imminente de votre compte. Rappelons que les fermetures/suspensions de compte sont toujours précédées d'un ou plusieurs mails d'avertissement, l'idée étant de vous laisser suffisamment de temps pour régler le problème.