{"id":21938,"date":"2024-06-13T16:53:14","date_gmt":"2024-06-13T14:53:14","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21938"},"modified":"2024-06-13T16:53:14","modified_gmt":"2024-06-13T14:53:14","slug":"when-two-factor-authentication-useless","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/when-two-factor-authentication-useless\/21938\/","title":{"rendered":"Quand l’authentification \u00e0 deux facteurs ne sert \u00e0 rien"},"content":{"rendered":"

De nos jours, l\u2019authentification \u00e0 deux facteurs (ou 2FA), avec l\u2019utilisation de mots de passe \u00e0 usage unique (ou OTP<\/a>), est souvent consid\u00e9r\u00e9e comme une solution miracle contre le phishing, l\u2019ing\u00e9nierie sociale, le vol de comptes et d\u2019autres fl\u00e9aux informatiques. En demandant un mot de passe \u00e0 usage unique lors de la connexion, le service concern\u00e9 propose une couche de protection suppl\u00e9mentaire en mati\u00e8re de v\u00e9rification de l\u2019utilisateur. Malheureusement, si ce code peut \u00eatre g\u00e9n\u00e9r\u00e9 dans une application sp\u00e9ciale directement sur l\u2019appareil de l\u2019utilisateur, peu de gens prennent la peine d\u2019installer et de configurer une application d'authentification<\/a>. Par cons\u00e9quent, les sites envoient g\u00e9n\u00e9ralement un code de v\u00e9rification sous la forme d\u2019un SMS, d\u2019un email, d\u2019une notification push, d\u2019un message instantan\u00e9 ou m\u00eame d\u2019un appel vocal.<\/p>\n

Valide pour une dur\u00e9e limit\u00e9e, ce code am\u00e9liore consid\u00e9rablement la s\u00e9curit\u00e9. Cependant, il ne s\u2019agit pas d\u2019une solution miracle\u00a0: m\u00eame avec la 2FA<\/a>, les comptes personnels restent vuln\u00e9rables aux bots de mots de passe \u00e0 usage unique, qui sont des logiciels automatis\u00e9s incitant les utilisateurs \u00e0 r\u00e9v\u00e9ler leurs mots de passe \u00e0 usage unique gr\u00e2ce \u00e0 l\u2019ing\u00e9nierie sociale.<\/p>\n

Pour d\u00e9couvrir le r\u00f4le que ces bots jouent dans le phishing, et comment ils fonctionnent, lisez la suite\u2026<\/p>\n

Comment fonctionnent les bots\u00a0de mot de passe \u00e0 usage unique\u00a0?<\/h2>\n

Contr\u00f4l\u00e9s soit par le biais d\u2019un panneau de configuration dans un navigateur Internet, soit par le biais de Telegram, ces bots se font passer pour des organismes l\u00e9gitimes, comme des banques, afin d\u2019inciter la victime \u00e0 divulguer le mot de passe \u00e0 usage unique qui lui est envoy\u00e9. Voici comment cela se passe\u00a0:<\/p>\n

    \n
  1. Apr\u00e8s avoir obtenu les identifiants de connexion de la victime, y compris son mot de passe (voir ci-dessous pour plus de d\u00e9tails), l\u2019escroc se connecte au compte de la victime et est invit\u00e9 \u00e0 saisir un mot de passe \u00e0 usage unique.<\/li>\n
  2. La victime re\u00e7oit ce mot de passe \u00e0 usage unique sur son t\u00e9l\u00e9phone.<\/li>\n
  3. Le bot de mots de passe \u00e0 usage unique appelle la victime et, \u00e0 l\u2019aide d\u2019un script d\u2019ing\u00e9nierie sociale pr\u00e9enregistr\u00e9, lui demande de saisir le code re\u00e7u.<\/li>\n
  4. La victime, qui ne se m\u00e9fie pas, saisit le code sur son t\u00e9l\u00e9phone pendant l\u2019appel.<\/li>\n
  5. Le code est transmis au bot Telegram du pirate informatique.<\/li>\n
  6. L\u2019escroc parvient \u00e0 acc\u00e9der au compte de la victime.<\/li>\n<\/ol>\n

    La fonctionnalit\u00e9 cl\u00e9 du bot de mots de passe \u00e0 usage unique r\u00e9side dans le fait d\u2019appeler la victime, et la r\u00e9ussite de l\u2019escroquerie d\u00e9pend de la force de persuasion du bot\u00a0: les mots de passe \u00e0 usage unique ont une dur\u00e9e de vie limit\u00e9e, si bien qu\u2019il est beaucoup plus probable d\u2019obtenir un code valide par le biais d\u2019un appel t\u00e9l\u00e9phonique que par n\u2019importe quel autre moyen. C\u2019est la raison pour laquelle les bots de mots de passe \u00e0 usage unique proposent de nombreuses options pour affiner les param\u00e8tres d\u2019appel.<\/p>\n

    \"Liste<\/a>

    Ce bot de mots de passe \u00e0 usage unique poss\u00e8de plus d\u2019une douzaine de fonctionnalit\u00e9s : des scripts pr\u00eats \u00e0 l\u2019emploi et personnalis\u00e9s dans plusieurs langues, 12 modes de fonctionnement, et m\u00eame une assistance technique disponible 24 heures sur 24 et 7 jours sur 7<\/p><\/div>\n

    Les bots de mots de passe \u00e0 usage unique repr\u00e9sentant un v\u00e9ritable business, les escrocs commencent par acheter, au moyen de cryptomonnaies, un abonnement pouvant co\u00fbter l\u2019\u00e9quivalent de 420\u00a0dollars par semaine. Ensuite, ils transmettent au bot le nom, le num\u00e9ro et les informations bancaires de la victime, puis ils choisissent l\u2019organisme dont ils souhaitent usurper l\u2019identit\u00e9.<\/p>\n

    \"Menu<\/a>

    Le menu intuitif du bot est \u00e0 la port\u00e9e de tous les escrocs, quelles que soient leurs comp\u00e9tences en programmation<\/p><\/div>\n

    Par souci de vraisemblance, les escrocs peuvent activer la fonctionnalit\u00e9 d\u2019usurpation d\u2019identit\u00e9 en d\u00e9finissant le num\u00e9ro de t\u00e9l\u00e9phone \u00e0 l\u2019origine de l\u2019appel, de sorte que celui-ci s\u2019affiche sur le t\u00e9l\u00e9phone de la victime. Ils peuvent \u00e9galement personnaliser la langue et m\u00eame la voix du bot. Toutes les voix \u00e9tant g\u00e9n\u00e9r\u00e9es par une IA, le bot de mots de passe \u00e0 usage unique peut aussi bien \u00ab\u00a0parler\u00a0\u00bb anglais avec un accent indien qu\u2019espagnol castillan. Si un appel est transf\u00e9r\u00e9 vers la messagerie vocale, le bot sait comment raccrocher. De plus, afin de s\u2019assurer que tout est correctement configur\u00e9, les escrocs peuvent v\u00e9rifier les param\u00e8tres du bot de mots de passe \u00e0 usage unique en appelant leur propre num\u00e9ro test avant de lancer une attaque.<\/p>\n

    \u00c9tant donn\u00e9 que la victime doit croire \u00e0 la l\u00e9gitimit\u00e9 de l\u2019appel, avant de composer le num\u00e9ro, certains bots de mots de passe \u00e0 usage unique peuvent \u00e9galement envoyer un SMS avertissant la victime d\u2019un appel imminent. Cette m\u00e9thode permet de tromper la vigilance de la cible, puisqu\u2019\u00e0 premi\u00e8re vue, il n\u2019y a rien de suspect : vous \u00eates averti(e) par SMS d\u2019un appel imminent de la part de votre \u00ab\u00a0banque\u00a0\u00bb, et quelques minutes plus tard, elle vous appelle bel et bien ; il ne peut donc pas s\u2019agir d\u2019une arnaque. Pourtant, c\u2019en est une.<\/p>\n

    Au cours d\u2019un appel, en plus d\u2019un mot de passe \u00e0 usage unique, certains bots peuvent \u00e9galement demander \u00e0 la victime d\u2019autres donn\u00e9es comme le num\u00e9ro et la date d\u2019expiration de sa carte bancaire, son code de s\u00e9curit\u00e9 ou son code PIN, sa date de naissance, des informations relatives \u00e0 certains documents, etc.<\/p>\n

    Pour en savoir plus sur le fonctionnement interne des bots de mots de passe \u00e0 usage unique, consultez notre rapport sur Securelist<\/a>.<\/p>\n

    Le bot n\u2019est pas le seul coupable<\/h2>\n

    Bien que les bots de mots de passe \u00e0 usage unique constituent des outils efficaces pour contourner l\u2019authentification\u00a02FA, ils ne servent absolument \u00e0 rien sans les donn\u00e9es personnelles de la victime. Pour pouvoir acc\u00e9der \u00e0 un compte, les pirates informatiques ont au moins besoin de l\u2019identifiant, du num\u00e9ro de t\u00e9l\u00e9phone et du mot de passe de la victime. Cependant, plus ils ont d\u2019informations sur la cible (nom, pr\u00e9nom, date de naissance, adresse, adresse email, informations de carte bancaire), mieux ils se portent. Ces donn\u00e9es peuvent \u00eatre obtenues de plusieurs mani\u00e8res\u00a0:<\/p>\n