Google, Yahoo : des hackers piratent des milliers de comptes en contournant le système de double authentification

L’authentification à double facteur est présentée comme un solide rempart contre les hackers mais un rapport d’Amnesty International montre comment des malins arrivent à contourner le système de plusieurs géants du web dont Google et Yahoo. Des milliers de comptes ont pu être piratés via un procédé de phishing bien élaboré.

Google hackers

 

Pour la majorité des internautes, la sécurité est l’un des aspects les plus importants de leur expérience web. Beaucoup ont adopté le système à double authentification pour ajouter un rideau de protection supplémentaire à leurs comptes en ligne. Mais cela rend-il vraiment invulnérable ? Pas vraiment à en croire un rapport d’Amnesty International qui décrit comment des hackers ont pu pirater des milliers de comptes depuis deux ans en contournant le système à double authentification de Gmail (Google) et Yahoo, dont le piratage de 3 milliards de comptes est encore assez frais dans les mémoires.

Google, Yahoo : comment des hackers arrivent à contourner l’authentification à double facteur

L’astuce est assez proche du procédé d’une attaque classique par phishing, mais elle est bien plus élaborée. Les utilisateurs ciblés reçoivent dans un premier temps une alerte par mail qui les dirige vers un site piège. Ils sont invités à saisir leurs identifiants qui sont récupérés par les hackers. Ces derniers font ensuite une demande de double authentification en se servant des données recueillies et invitent l’internaute à saisir le code reçu par SMS. Après quoi ils arrivent à accéder au compte des victimes. Tout s’effectue via un système automatisé.

Il est important de préciser qu’il ne s’agit pas d’une faille de sécurité touchant le système à double authentification, mais d’un contournement astucieux qui n’est efficace qu’avec l’aide de l’inattention des internautes.  Pour éviter de se faire avoir, le rapport recommande aux utilisateurs de passer par la double authentification avec dispositif physique.

Pour rappel, Google a lancé il y a peu la Titan Security Key, une clé USB d’authentification à double facteur pour renforcer la sécurité de ses services en ligne.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Firefox corrige une deuxième faille zero-day en 2 jours

Firefox vient de publier une nouvelle mise à jour, 48 heures environ après celle qui corrigeait une première faille zero-day. Le navigateur passe en version 67.0.4 qui corrige une deuxième vulnérabilité. Celle-ci est directement liée à la première. Un chercheur en sécurité du…

Voici 50 mots de passe que vous ne devriez jamais utiliser

Les mots de passe restent la modalité de sécurité la plus utilisée sur internet – malgré l’émergence d’alternatives. Or, à chaque nouvelle fuite de données, on se rend compte qu’un nombre inquiétant d’internautes négligent leurs mots de passe. Ainsi on…

Dell : une faille de sécurité permet de pirater ses PC à distance

Un chercheur en sécurité a identifié une faille de sécurité qui touche les PC Dell et plus précisément l’application SupportAssist qui est installée par défaut sur toutes les machines du constructeur. Avec cette faille, les ordinateurs portables et de bureau…