Google, Yahoo : des hackers piratent des milliers de comptes en contournant le système de double authentification

L’authentification à double facteur est présentée comme un solide rempart contre les hackers mais un rapport d’Amnesty International montre comment des malins arrivent à contourner le système de plusieurs géants du web dont Google et Yahoo. Des milliers de comptes ont pu être piratés via un procédé de phishing bien élaboré.

Google hackers

 

Pour la majorité des internautes, la sécurité est l’un des aspects les plus importants de leur expérience web. Beaucoup ont adopté le système à double authentification pour ajouter un rideau de protection supplémentaire à leurs comptes en ligne. Mais cela rend-il vraiment invulnérable ? Pas vraiment à en croire un rapport d’Amnesty International qui décrit comment des hackers ont pu pirater des milliers de comptes depuis deux ans en contournant le système à double authentification de Gmail (Google) et Yahoo, dont le piratage de 3 milliards de comptes est encore assez frais dans les mémoires.

Google, Yahoo : comment des hackers arrivent à contourner l’authentification à double facteur

L’astuce est assez proche du procédé d’une attaque classique par phishing, mais elle est bien plus élaborée. Les utilisateurs ciblés reçoivent dans un premier temps une alerte par mail qui les dirige vers un site piège. Ils sont invités à saisir leurs identifiants qui sont récupérés par les hackers. Ces derniers font ensuite une demande de double authentification en se servant des données recueillies et invitent l’internaute à saisir le code reçu par SMS. Après quoi ils arrivent à accéder au compte des victimes. Tout s’effectue via un système automatisé.

Il est important de préciser qu’il ne s’agit pas d’une faille de sécurité touchant le système à double authentification, mais d’un contournement astucieux qui n’est efficace qu’avec l’aide de l’inattention des internautes.  Pour éviter de se faire avoir, le rapport recommande aux utilisateurs de passer par la double authentification avec dispositif physique.

Pour rappel, Google a lancé il y a peu la Titan Security Key, une clé USB d’authentification à double facteur pour renforcer la sécurité de ses services en ligne.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…