Le système de la double authentification est censé apporter une sécurité totale à un compte mail. Pourtant, Amnesty International révèle qu’un millier de comptes de militants des droits de l’homme disposant de cette protection ont été hackés, probablement par un organisme à la solde d’un Etat, au Moyen-Orient ou en Afrique du Nord. Leur méthode : une technique de phishing hautement sophistiquée.
Deux routes parallèles. Pendant que les systèmes de sécurisation des comptes et des données s’améliorent, les techniques pour les briser font de même. Une double affaire de piratage, récemment révélée par Amnesty International, illustre cette montée en compétence des hackers face aux nouvelles techniques de sécurité.
« De plus en plus de défenseurs des droits humains sont conscients des menaces »
Les cibles : des journalistes, activistes ou militants des droits de l’homme, opérant au Moyen-Orient ou en Afrique du Nord. Des internautes particulièrement vigilants, comme le note l’organisation : « De plus en plus de défenseurs des droits humains sont conscients des menaces. Beaucoup ont pris des mesures pour améliorer leur résistance aux attaques. Souvent, ils utilisent des fournisseurs mail plus sécurisé, respectant la confidentialité et activent la double-authentification pour leurs comptes en ligne » détaille Amnesty International.
Les pirates : des groupes probablement liés à un gouvernement, vus les cibles visées et le degré de perfection des techniques de hacking utilisées. L’objectif : réussir à briser les messageries les plus sécurisées, comme Proton ou Tutanota, ou dépasser les systèmes à double authentification de Google ou Yahoo.
L’authentification à double facteur, théoriquement inviolable
L’authentification à double facteur est théoriquement impossible à contourner : pour accéder à sa messagerie, l’utilisateur doit fournir son mot de passe, ainsi qu’un code qui lui est envoyé par SMS. A moins de disposer du mot de passe ET du téléphone déverrouillé, accéder illégalement aux comptes semble impossible.
Et pourtant. Les pirates y sont parvenus. Non pas avec des malware dernière génération. Mais simplement avec du phishing. Un hameçonage particulièrement habile, imitant à la perfection des pages légales.
Du phishing de très haut niveau
Les comptes visés ont ainsi reçu un faux mails émanant théoriquement de Yahoo ou de Google, copiant dans les moindres détails les campagnes d’alerte de sécurité envoyées par ces services de messagerie. Il est demandé à la cible de changer en urgence son mot de passe.
En cliquant sur le lien dans le mail, l’utilisateur arrive sur une fausse page de connexion Yahoo ou Google, plus vraie que la vraie. Récupérer le mot de passe est alors un jeu d’enfant pour les hackers. Mais ils vont plus loin.
Créer une page plus vraie que nature, qui récupère le code SMS
Pendant que la cible est sur leur fausse page, ils lancent une tentative de connexion sur la vraie page de Google ou Yahoo. Avec le mot de passe. Les serveurs mail leur proposent une double authentification. Les pirates la valident, et Yahoo ou Google envoient un code par SMS au propriétaire du compte.
Pendant ce temps, la fausse page a elle aussi demandé une double authentification, et a elle aussi indiqué à la cible qu’on lui envoyait un SMS. Ne se doutant de rien, cette dernière rentre le code. Il suffit alors aux pirates de le récupérer pour accéder à la messagerie de la cible.
Pour détailler le principe de l’attaque, nous avons supposé que les pirates agissaient en temps réel : ils ont en fait mis en place un système automatisé, qui trompait l’internaute. C’est ce qu’a découvert Amnesty International en accédant au serveur des attaquants.
Une vigilance de tous les instants
La seconde attaque visait les messageries à haut niveau de sécurité, comme Proton ou Tutanota, en utilisant une page copiant, là encore à la perfection, la page légale de ces messageries. La fausse page disposait même d’une connexion chiffrée en https.
La première attaque a atteint environ un millier de comptes, la seconde plusieurs centaines d’activistes. Avec des conséquences impossibles à mesurer, mais qui peuvent être désastreuses pour certains journalistes ou militants. Plus que jamais, la vigilance doit être totale. Les hackers auront toujours un coup d’avance.
Dans le domaine de la sécurité, tout le monde déconseille la double authentification avec SMS, ce n’est absolument pas considérait comme inviolable. C’est mieux qu’une authentification simple mais ça ne vaut pas les standards comme le U2F qui lui pour le moment n’a pas encore été cassé. Donc si Amnesty International considère la double authentification par SMS comme inviolable, ça fait peur pour les défenseurs droit de l’homme.
Bien naïf celui qui se fait piéger comme cela, même ma belle-mère ne se fait pas prendre par ces techniques de phishing.
Ne jamais cliquer sur un lien envoyé par mail sans vérifier l’adresse qui s’affiche dans la barre d’adresse du navigateur, c’est la base de la base.