14.05.2024 - De nos jours, l’accès à de nombreuses applications en ligne est protégé au moyen d’une authentification à deux facteurs. Et les smartphones sont toujours plus utilisés comme deuxième facteur pour se connecter. C’est pourquoi les cybercriminels tentent de plus en plus d’accéder à ces appareils afin d’obtenir toutes les données de connexion requises. Un cas signalé à l’OFCS la semaine dernière montre que saisir un mot de passe lors d’une attaque d’hameçonnage contre un service internet en apparence anodin peut avoir de graves conséquences et même rendre caduque l’authentification à deux facteurs.
Semaine 19 : le smartphone, ce talon d’Achille – comment les cybercriminels contournent l’authentification à deux facteurs
Comme noté dans une précédente rétrospective hebdomadaire, les comptes de messagerie constituent souvent un accès à divers services internet. Les adresses électroniques sont fréquemment employées comme identifiants. Lorsque l’on oublie son mot de passe, on peut se faire envoyer un lien par courriel afin de le réinitialiser. Si des pirates parviennent à pénétrer dans un compte de messagerie, ils peuvent utiliser cette fonctionnalité pour accéder à de nombreux services internet liés à l’adresse électronique compromise. C’est pourquoi ils visent de plus en plus des adresses de messagerie lors de leurs attaques d’hameçonnage. Comme le prouve un cas signalé à l’OFCS la semaine dernière, il n’y a toutefois pas que les intrusions dans des comptes de messagerie qui peuvent servir de porte d’entrée à de nombreuses tentatives de piratage. Cet exemple montre aussi comment les criminels procèdent étape par étape et s’adaptent à leur victime en fonction de la situation.
La cible de l’attaque était un compte du portail clients d’un opérateur de téléphonie mobile. Les criminels ont d’abord réussi à soutirer le mot de passe de ce compte à la victime au moyen d’une page d’hameçonnage. Leur but était toutefois d’établir une carte SIM dématérialisée (eSIM). À cette fin, ils devaient également convaincre la victime de leur fournir le code de vérification reçu par SMS. Pour ce faire, les pirates créent généralement de faux concours où le code SMS doit être confirmé et saisi sur un site web pour obtenir le prix prétendument promis. Munis du mot de passe, de l’identifiant et du SMS de vérification, ils peuvent ensuite générer une eSIM et donc recevoir tous les appels et les SMS destinés à ce numéro de téléphone. Même si les dommages potentiels semblent a priori minimes, une telle attaque peut avoir de graves conséquences.
Accès d’abord aux courriels, puis au compte Apple, etc.
Ensuite, les criminels ont essayé d’accéder au compte de messagerie de la victime. À l’instar de Yahoo ou de Gmail, de nombreux fournisseurs permettent de réinitialiser le mot de passe non seulement au moyen d’une autre adresse électronique, mais aussi grâce à un SMS envoyé au numéro de téléphone portable enregistré. Si les pirates ont accès au SMS contenant le lien de vérification – comme c’était le cas dans l’exemple en question –, ils peuvent donc prendre le contrôle du compte de messagerie.
Par ailleurs, les données figurant dans le portail clients de l’opérateur de téléphonie ont appris aux criminels que la victime utilisait un iPhone. Les pirates en ont déduit qu’elle disposait aussi d’un compte Apple. Ayant déjà obtenu l’accès au compte de messagerie et aux SMS de la victime, ils ont également pu accéder à son compte Apple et à toutes ses fonctionnalités, y compris à la sauvegarde iCloud, qu’ils ont restaurée sur leur propre smartphone.
Par ce biais, les criminels ont pu recevoir davantage d’informations sur les applications utilisées par la victime et ont progressivement tenté de pénétrer dans d’autres comptes de façon ciblée. En général, les pirates se concentrent sur des services standards comme Facebook, Instagram ou d’autres médias sociaux, qui sont présents sur la plupart des smartphones. Dans ce cas précis, ils disposaient toutefois d’une vue d’ensemble plus précise des applications installées grâce à la sauvegarde dérobée. Ainsi, ils ont découvert que la victime possédait plusieurs applications pour gérer des comptes de cryptomonnaies. Ces renseignements leur ont ensuite permis de réinitialiser les mots de passe de ces comptes et d’obtenir les codes numériques des applications d’authentification à deux facteurs. En l’espèce, les dommages totaux ont atteint 20 000 francs. Et tout a commencé parce qu’un mot de passe pour un service internet apparemment peu important a été dévoilé sur une page d’hameçonnage.
Recommandations
- Installez si possible une authentification à deux facteurs. Celle-ci offre un niveau de protection supplémentaire contre le piratage.
- Ne saisissez jamais de données personnelles telles que des mots de passe ou des données de carte de crédit sur un site internet auquel vous avez accédé en cliquant sur un lien contenu dans un courriel ou un SMS.
- N’oubliez pas que les expéditeurs de courriels peuvent facilement être falsifiés.
- Définissez des mots de passe d’au moins 12 caractères contenant des majuscules et des minuscules, des chiffres et des caractères spéciaux.
- Ne réutilisez pas vos mots de passe.
- Employez si possible plusieurs adresses électroniques pour différents usages.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 14.05.2024