Amazon : des hackers arnaquent les clients en contournant l’authentification double facteurs !

 

Des clients d’Amazon rapportent avoir été débités de commandes étranges à leur insu, quand bien même leur compte était protégé par l’authentification double facteurs. Des pirates semblent avoir réussi à casser la sécurité de la double authentification et se font passer pour de faux vendeurs pour mieux voler leur argent.

Crédits : Unsplash

Nos confrères de Clubic rapportent le témoignage de plusieurs utilisateurs d’Amazon qui se plaignent de commandes étranges passées à leur insu alors que leur compte était protégé par la double authentification. Ce mécanisme de sécurité implique qu’un code supplémentaire à usage unique est nécessaire pour se connecter. Ce code peut être généré au moyen d’un générateur de code, souvent une application sur le smartphone de l’utilisateur. Ou bien comme souvent d’un code reçu par SMS.

Amazon : des clients voient des commandes étranges apparaître dans leur historique

Une fois connectés, les pirates passent commande d’un montant de plusieurs centaines d’euros à de faux vendeurs, et mettent immédiatement le statut de la commande à « Livré » ce qui empêche tout remboursement. Le but n’est, vous l’aurez sans doute compris, pas de recevoir le produit, ce qui impliquerait de fournir une adresse autre que celle du propriétaire du compte – mais bien d’extorquer de l’argent. Les comptes vendeurs prétendent être basés en Chine.

Ils donnent l’apparence de comptes authentiques bien que les articles qu’ils sont censés vendre disparaissent régulièrement du catalogue. Ils semblent opérer dans plusieurs langues et donc dans de nombreux pays. Les victimes dont Clubic raconte l’histoire ont toutes depuis changé leur mot de passe et obtenu un remboursement de la part d’Amazon. Reste une grande question : comment ont-ils réussi à contourner la double authentification du site Amazon ?

Pour l’instant la plateforme ne livre pas vraiment d’explication. En nous rendant sur les pages d’aide Amazon, on s’est néanmoins rendu compte que le site propose en fait deux méthodes d’authentification double facteurs. L’une via un générateur de code installé sur votre smartphone, l’autre via un code reçu par SMS. Amazon incite d’ailleurs ses clients à entrer leur numéro de téléphone afin de pouvoir utiliser l’authentification double via code reçu par SMS au cas où le générateur ne fonctionnerait plus.

Les comptes Amazon semblent vulnérables au SIM Swapping

« Pour activer la Vérification en deux étapes, il vous est demandé d’ajouter un numéro de téléphone secondaire afin d’avoir une option alternative pour recevoir le code de sécurité dans le cas où vous n’auriez plus accès à votre appareil mobile principal« , explique ainsi Amazon. Bien sûr, il est impossible de s’avancer en l’état sur les techniques qu’ont vraiment utilisé ces pirates pour passer ces commandes – une enquête approfondie serait sans doute nécessaire pour le savoir.

Mais on sait déjà depuis quelques temps que toutes les authentifications double facteurs ne se valent pas. Les codes reçus par SMS, en particulier, représentent une faille de sécurité béante. On vous parlait il y a quelque temps de l’inquiétante technique du SIM Swapping : il s’agit pour un pirate de se faire passer pour le client d’un opérateur dans le but d’obtenir une copie de sa carte SIM.

Lire également : Facebook – l’authentification à double facteur rend votre numéro de téléphone public

Le pirate peut alors recevoir ces codes à usage unique et se connecter à sa guise aux comptes de sa victime qui utilisent l’authentification double facteurs. Avez-vous activé la double authentification sur Amazon ? Avez-vous déjà constaté l’apparition de commandes étranges dans votre historique ? Partagez votre retour dans la zone commentaires de cet article !

Source : Clubic



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…