Des clients d’Amazon rapportent avoir été débités de commandes étranges à leur insu, quand bien même leur compte était protégé par l’authentification double facteurs. Des pirates semblent avoir réussi à casser la sécurité de la double authentification et se font passer pour de faux vendeurs pour mieux voler leur argent.

Crédits : Unsplash

Nos confrères de Clubic rapportent le témoignage de plusieurs utilisateurs d’Amazon qui se plaignent de commandes étranges passées à leur insu alors que leur compte était protégé par la double authentification. Ce mécanisme de sécurité implique qu’un code supplémentaire à usage unique est nécessaire pour se connecter. Ce code peut être généré au moyen d’un générateur de code, souvent une application sur le smartphone de l’utilisateur. Ou bien comme souvent d’un code reçu par SMS.

Amazon : des clients voient des commandes étranges apparaître dans leur historique

Une fois connectés, les pirates passent commande d’un montant de plusieurs centaines d’euros à de faux vendeurs, et mettent immédiatement le statut de la commande à « Livré » ce qui empêche tout remboursement. Le but n’est, vous l’aurez sans doute compris, pas de recevoir le produit, ce qui impliquerait de fournir une adresse autre que celle du propriétaire du compte – mais bien d’extorquer de l’argent. Les comptes vendeurs prétendent être basés en Chine.

Ils donnent l’apparence de comptes authentiques bien que les articles qu’ils sont censés vendre disparaissent régulièrement du catalogue. Ils semblent opérer dans plusieurs langues et donc dans de nombreux pays. Les victimes dont Clubic raconte l’histoire ont toutes depuis changé leur mot de passe et obtenu un remboursement de la part d’Amazon. Reste une grande question : comment ont-ils réussi à contourner la double authentification du site Amazon ?

Pour l’instant la plateforme ne livre pas vraiment d’explication. En nous rendant sur les pages d’aide Amazon, on s’est néanmoins rendu compte que le site propose en fait deux méthodes d’authentification double facteurs. L’une via un générateur de code installé sur votre smartphone, l’autre via un code reçu par SMS. Amazon incite d’ailleurs ses clients à entrer leur numéro de téléphone afin de pouvoir utiliser l’authentification double via code reçu par SMS au cas où le générateur ne fonctionnerait plus.

Les comptes Amazon semblent vulnérables au SIM Swapping

« Pour activer la Vérification en deux étapes, il vous est demandé d’ajouter un numéro de téléphone secondaire afin d’avoir une option alternative pour recevoir le code de sécurité dans le cas où vous n’auriez plus accès à votre appareil mobile principal« , explique ainsi Amazon. Bien sûr, il est impossible de s’avancer en l’état sur les techniques qu’ont vraiment utilisé ces pirates pour passer ces commandes – une enquête approfondie serait sans doute nécessaire pour le savoir.

Mais on sait déjà depuis quelques temps que toutes les authentifications double facteurs ne se valent pas. Les codes reçus par SMS, en particulier, représentent une faille de sécurité béante. On vous parlait il y a quelque temps de l’inquiétante technique du SIM Swapping : il s’agit pour un pirate de se faire passer pour le client d’un opérateur dans le but d’obtenir une copie de sa carte SIM.

Lire également : Facebook – l’authentification à double facteur rend votre numéro de téléphone public

Le pirate peut alors recevoir ces codes à usage unique et se connecter à sa guise aux comptes de sa victime qui utilisent l’authentification double facteurs. Avez-vous activé la double authentification sur Amazon ? Avez-vous déjà constaté l’apparition de commandes étranges dans votre historique ? Partagez votre retour dans la zone commentaires de cet article !

Source : Clubic



Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Fraude à la carte bancaire : le skimming débarque sur le web

La fraude à la carte bancaire évolue. Selon nos confrères du site Ubergizmo, des hackers ont trouvé le moyen d’adapter le skimming, cette technique qui consiste à pirater une carte bleue une fois insérée dans un DAB, pour le web….