L’authentification à deux facteurs, est-ce vraiment la panacée ?

, ,
Authentification-deux-facteurs 

🔨 On nous bassine souvent avec la « 2FA » et autres « Authentification à deux facteurs ». Mais est-ce vraiment la panacée ?

Kaspersky explique une évolution complexe des techniques de phishing utilisées par les cybercriminels pour contourner l’authentification à deux facteurs (2FA), une mesure de sécurité pourtant spécifiquement conçue pour améliorer la protection des comptes en ligne.

📲 L’authentification à deux facteurs (2FA) est rapidement devenue un standard en matière de sécurité en ligne. Elle exige que les utilisateurs vérifient leur « identité » au moyen d’une deuxième forme d’authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, géré par un gestionnaire de mots de passe, par mail ou via une application d’authentification. Cette couche de sécurité supplémentaire est destinée à protéger les comptes des utilisateurs en cas de compromission de leurs mots de passe. Toutefois, les escrocs ont mis au point des méthodes pour inciter les utilisateurs à révéler ces OTP, ce qui leur permet de contourner les protections 2FA.

🙄 Mais comment font-ils ? Facile:

1️⃣ Les attaquants obtiennent généralement les identifiants de connexion de la victime par hameçonnage ou fuite de données.
2️⃣ Puis se connectent au compte de la victime, ce qui déclenche l’envoi d’un OTP sur le téléphone de la victime.
3️⃣ Le bot OTP appelle la victime en se faisant passer pour un représentant d’une organisation de confiance et utilise un dialogue préétabli pour persuader la victime de partager l’OTP précédemment reçu.
4️⃣ L’attaquant reçoit finalement l’OTP par l’intermédiaire du robot et l’utilise pour accéder au compte de la victime.

☎ Les arnaqueurs préfèrent les appels téléphoniques aux messages, car les appels augmentent les chances que la victime réponde rapidement. Le robot peut imiter le ton et le caractère 🚀 urgent d’un appel légitime, ce qui le rend plus convaincant. 🤖 Ces robots peuvent être personnalisés pour usurper l’identité de différentes organisations, fonctionner dans plusieurs langues et même choisir entre une voix masculine et une voix féminine. Les options avancées comprennent l’usurpation de numéro de téléphone, qui fait apparaître l’identifiant de la personne effectuant l’appel comme s’il provenait d’une organisation légitime.

Comment se protèger ?

– Ne JAMAIS donner un code OTP à un tiers. Jamais votre fournisseur n’en aura besoin.
– Comme dans la vraie vie, soyez critiques envers ce que vous voyez et ce que l’ion vous demande. Posez-vous la question de si cele st vraiment légitime.
– RIEN n’est vraiment URGENT, surtout pour un fournisseur de services online.
– Et en cas de doutes, faites appel à un ami (non, le 50/50 ne vous sera pas utile…). Soit votre partenaire IT de confiance. ℹ Au besoin, j’en connais un que je peux vous recommander, hein 😜

hashtagit hashtagromandie hashtagcybersecurity hashtagtruelife

 

1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. […] à deux facteurs, mais ça, c’est un autre sujet que vous pouvez découvrir en cliquant ici […]

Les commentaires sont désactivés.