Amazon : des hackers arnaquent les clients en contournant l’authentification à double facteur !

Des clients d'Amazon rapportent avoir été débités de commandes étranges à leur insu, quand bien même leur compte était protégé par l'authentification à double facteur. Des pirates semblent avoir réussi à casser la sécurité de la double authentification et se font passer pour de faux vendeurs pour mieux voler leur argent.

Plusieurs utilisateurs d'Amazon qui se plaignent de commandes étranges passées à leur insu alors que leur compte était protégé par la double authentification. Ce mécanisme de sécurité implique qu'un code supplémentaire à usage unique est nécessaire pour se connecter. Ce code peut être créé à l'aide d'un générateur, soit via une application sur le smartphone de l'utilisateur, soit via un code reçu par SMS.

Amazon : des clients voient des commandes étranges apparaître dans leur historique

Une fois connectés, les pirates passent commande d'un montant de plusieurs centaines d'euros à de faux vendeurs, et mettent immédiatement le statut de la commande à “Livré” ce qui empêche tout remboursement. Le but n'est, vous l'aurez sans doute compris, pas de recevoir le produit, ce qui impliquerait de fournir une adresse autre que celle du propriétaire du compte – mais bien d'extorquer de l'argent. Les comptes vendeurs prétendent être basés en Chine.

Ils donnent l'apparence de comptes authentiques bien que les articles qu'ils sont censés vendre disparaissent régulièrement du catalogue. Ils semblent opérer dans plusieurs langues et donc dans de nombreux pays. Les victimes racontent qu'elles ont toutes depuis changé leur mot de passe et obtenu un remboursement de la part d'Amazon. Reste une grande question : comment ont-ils réussi à contourner la double authentification du site Amazon ?

Pour l'instant la plateforme ne livre pas vraiment d'explication. En nous rendant sur les pages d'aide Amazon, nous nous sommes néanmoins rendu compte que le site propose en fait deux méthodes d'authentification à double facteur. L'une via un générateur de code installé sur votre smartphone, l'autre via un code reçu par SMS. Amazon incite d'ailleurs ses clients à entrer leur numéro de téléphone afin de pouvoir utiliser l'authentification double via code reçu par SMS au cas où le générateur ne fonctionnerait plus.

Les comptes Amazon semblent vulnérables au SIM Swapping

“Pour activer la Vérification en deux étapes, il vous est demandé d’ajouter un numéro de téléphone secondaire afin d’avoir une option alternative pour recevoir le code de sécurité dans le cas où vous n’auriez plus accès à votre appareil mobile principal“, explique ainsi Amazon. Bien sûr, il est impossible de s'avancer en l'état sur les techniques qu'ont vraiment utilisées ces pirates pour passer ces commandes – une enquête approfondie serait sans doute nécessaire pour le savoir.

Mais on sait déjà depuis quelque temps que toutes les authentifications à double facteur ne se valent pas. Les codes reçus par SMS, en particulier, représentent une faille de sécurité béante. On vous parlait il y a quelque temps de l'inquiétante technique du SIM Swapping : il s'agit pour un pirate de se faire passer pour le client d'un opérateur dans le but d'obtenir une copie de sa carte SIM.

Lire également : Facebook – l'authentification à double facteur rend votre numéro de téléphone public

Le pirate peut alors recevoir ces codes à usage unique et se connecter à sa guise aux comptes de sa victime qui utilisent l'authentification à double facteur. Avez-vous activé la double authentification sur Amazon ? Avez-vous déjà constaté l'apparition de commandes étranges dans votre historique ? Partagez votre retour dans la zone commentaires de cet article !