La double authentification n’est plus aussi efficace qu’avant, gare aux pirates

La double authentification a-t-elle atteint sa limite ? C’est en tout cas la question que pose une récente étude menée par des chercheurs de l’université de Stony Brook. Ces derniers ont découvert pas moins de 1200 kits de piratage en libre accès sur Internet, permettant de contourner cette mesure de sécurité pourtant autrefois considérée comme imparable.

Lorsqu’elle est arrivée auprès du grand public, la double authentification a été présentée comme la solution à — presque — tous les problèmes du web. À l’aide d’un simple SMS envoyé sur le téléphone de l’utilisateur ou d’un code sur son adresse mail, le dispositif a mis un énorme bâton dans les roues des pirates. Finie l’époque où il suffisait de récupérer un mot de passe pour avoir accès à un compte. Il faut désormais également obtenir ce précieux sésame qui, bien souvent, parvient à rester confidentiel.

Avec le temps, des méthodes pour contourner cet obstacle imposant ont bien évidemment vu le jour. Cette année, un dangereux malware bancaire capable d’espionner les SMS de ses victimes, pour ne citer que lui, a fait trembler les chercheurs en cybersécurité. Mais jusqu’à maintenant, ces techniques sont restées relativement confidentielles. Jusqu’à maintenant. En effet, une étude de l’université de Stony Brook, en partenariat avec Palo Alto Networks, démontre que ces outils se démocratisent de plus en plus.

LA DOUBLE AUTHENTIFICATION BIENTÔT INUTILE ?
Ainsi, il est beaucoup moins difficile qu’avant de mettre la main sur un kit de piratage, le plus souvent mis en vente par des individus malintentionnés. Là où il fallait autrefois explorer le dark web pour trouver de tels outils, ces derniers s’exposent désormais sans gêne sur Internet. Ces kits permettent, sans effort ou presque, de subtiliser le cookie d’authentification créé par le dispositif de sécurité et sauvegardé par le navigateur.

Sur le même sujet : Apple veut rendre la double authentification plus sûre avec des SMS liés à un domaine

Il existe deux moyens pour réaliser cet exploit. Le pirate peut, au choix, infiltrer l’appareil de sa victime avec un malware capable de voler les données souhaitées, ou bien lancer une attaque de type homme du milieu pour intercepter l’information avant qu’elle n’arrive auprès du site concerné. Selon les chercheurs, ces kits sont efficaces sur la plupart des plus gros sites et applications. Ils en ont compté pas moins de 1200 au cours de leur étude.

Comme dit plus tôt, les pirates peuvent déjà depuis plusieurs années contourner la double authentification. En revanche, une telle distribution des kits de piratage, qui plus est avec une telle simplicité d’obtention, a de quoi inquiéter les chercheurs. À l’image d’Instagram qui a récemment activé le dispositif, les prochains sites et applications rejoignant le mouvement pourraient bien le faire avec un certain train de retard.