L’authentification à deux facteurs contournée par des hackers ?
L’authentification à deux facteurs est-elle vraiment sûre ? Découvrez comment les hackers la contournent et comment protéger efficacement vos comptes en ligne.
L’authentification à deux facteurs (2FA) est une méthode de sécurité très répandue pour protéger les comptes en ligne. Cependant, les cybercriminels ont récemment trouvé des moyens pour contourner cette protection. Comment parviennent-ils à leurs fins et que peut-on faire pour se protéger ?
Accès rapide (Sommaire) :
Qu’est-ce que l’authentification à deux facteurs ?
Vous voulez vous connecter à un de vos comptes : vous entrez votre mot de passe, mais il vous reste une étape. On vous proposera certainement un code d’authentification par mail ou par SMS, et c’est seulement après avoir taper le bon code que vous êtes connectés.
Cette méthode vise à sécuriser vos comptes même si votre mot de passe est compromis, et bien que cela ajoute un étape parfois pénible c’est tout de même rassurant. Après tout, comment ce système pourrait-il être faillible ?
Une popularité croissante et une sécurité efficace
Une étude de Cisco réalisée en 2021 révèle que 80 % des utilisateurs utilisent 2FA pour se protéger contre les cyberattaques.
Elle est souvent mise en place pour les comptes sensibles tels que les comptes bancaires, avec 85 % des utilisateurs préférant recevoir le code par SMS.
Malgré tout, cette tranquillité a été de courte durée car des hackers ont trouvés un moyens de contourner cette protection. Car si la 2FA est redoutable en terme de sécurité, les hackers ont su exploiter les failles humaines.
Les cybercriminels s’adaptent : l’utilisation de robots OTP
Les hackers ont développé des méthodes sophistiquées pour contourner 2FA grâce à des robots OTP animés par l’intelligence artificielle.
Ces robots appellent la victime et, en se faisant passer pour des représentants d’organisations de confiance, les incitent à divulguer leur code de sécurité. C’est clairement ce que l’on appelle du phishing.
Une enquête de Kaspersky décrit comment ces robots peuvent imiter des appels légitimes, utilisant des voix générées par IA et usurpant des numéros de téléphone officiels.
Comment les hackers obtiennent-ils les informations nécessaires ?
La première étape pour les hackers est de récupérer vos identifiants. Cela peut se faire via des bases de données divulguées ou des attaques de phishing.
Avec ces identifiants, les pirates tentent de se connecter au compte cible, déclenchant l’envoi d’un code de sécurité qu’ils cherchent ensuite à obtenir par le biais du robot OTP.
Les failles de l’ingénierie sociale et la manipulation
Les cybercriminels misent surtout sur l’ingénierie sociale (une technique de manipulation qui exploite l’erreur humaine) pour manipuler les victimes. Les robots OTP suivent des scripts prédéfinis pour persuader les utilisateurs de divulguer leur code de vérification.
D’autant plus qu’en affichant un numéro de téléphone officiel crédibilise le tout, et endors la vigilance de l’interlocuteur.
Comment se protéger efficacement ?
Malgré ces menaces, il existe des mesures pour se protéger :
Ne divulguez jamais votre code OTP lors d’un appel téléphonique ou par email, même si l’interlocuteur semble convaincant. Aucun support client ne vous le demandera.
Vérifiez toujours l’authenticité des demandes en contactant directement l’entreprise concernée via un numéro de téléphone ou une adresse email officielle.
Eviter d’enregistrer ses mots de passe en ligne : Les navigateurs proposent souvent de mémoriser les mots de passe, mais cela peut constituer une faille de sécurité. Il est préférable de les saisir manuellement.
Changer régulièrement ses mots de passe : Bien que contraignant, changer fréquemment ses mots de passe réduit le risque de compromission en cas de fuite de données.
Utiliser un coffre-fort de mots de passe : Ces outils sécurisés stockent vos mots de passe et les protègent par un mot de passe maître unique. Ils peuvent également générer des mots de passe forts et uniques pour chaque compte.
Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).
Nous sommes aussi actifs sur LinkedIn, X, Facebook, Threads et YouTube. On s’y retrouve ?
À l’heure actuelle, je me consacre au journalisme avec une spécialisation en cybersécurité, intelligence artificielle et culture internet, tout en nourrissant un vif intérêt pour les domaines relatifs aux sciences humaines. Mon objectif principal est d’éclaircir et rendre accessible des sujets fréquemment perçus comme obscures ou complexes. Pour me contacter : [email protected]
