13/04/2022 @ 20:02:00: Sécurité - L'authentification à 2 facteurs peut être contournée, et il n'y a pas de solution pour l'instant
Il y a un mois, nous avons annoncé la nouvelle d'une nouvelle technique de phishing qui permettait à un attaquant de voler les identifiants de connexion d'un utilisateur involontaire . Cela se fait en utilisant un faux site Web « au-dessus » du site Web authentique et la technique, appelée navigateur dans le navigateur ( BitB ), a été proposée par un « expert en sécurité » nommé mr.d0x . Hier , la République a rapporté comment ce mr.d0x s'était en fait approprié la découverte d'un groupe de chercheurs italiens , Franco Tommasi, Christian Catalano et Ivan Taurino , qui avaient fait la découverte bien avant, l'appelant navigateur-au-milieu ( BitM ).
Le concept est évidemment le même et tire parti du fait qu'un internaute clique sur un lien reçu par SMS ou email, qui le renvoie vers le site authentique (le site d'une banque , par exemple), avec toutefois une authentification fenêtre entre les deux qui renverra à l'ordinateur de l'attaquant . De cette manière, l'attaquant peut accéder à distance aux informations saisies par la victime. Le plus inquiétant est que lorsque la victime reçoit la demande de confirmation via l'authentification à deux facteurs ( 2FA ), elle donnera le consentement de facto garantissant l'accès également à l' attaquant , qui pourra suivre toutes les opérations de la même manière que ils fonctionnent normalement pour contrôler un écran d'ordinateur à distance . Par exemple, si la victime effectue ensuite un virement , l'attaquant peut changer l'Iban , le montant à payer, ou dans tous les cas effectuer toutes les opérations qu'il préfère.
Les trois chercheurs avaient déjà mis en garde les principaux développeurs de navigateurs tels que Google , Apple et Microsoft l'année dernière , mais pour le moment il n'existe aucune solution à l'attaque, qui fonctionne encore aujourd'hui . Lorsqu'ils ont vu le post de mr.d0x, qui entre-temps s'est fait connaître grâce à son plagiat, les chercheurs l'ont contacté pour lui signaler gentiment qu'il avait copié leurs recherches, mais ils n'ont reçu aucune réponse . Maintenant, lentement, la vérité revient à la surface, mais le fait est, comme le dit le professeur Tommasi , chef de l'équipe, que " Malheureusement, c'est une attaque difficile à bloquer et la seule contre-mesure efficace est d'empêcher le phishing mais pour quoi tu essaies il y aura toujours quelqu'un qui tombera dedans ".