Considéré comme un système ultime de protection d’un compte en ligne, l’authentification à double facteur a pourtant été contournée par un groupe de hackers. Voici leur méthode.

au sommaire

    Censé être robuste et imparable face aux tentatives de piratage, le système de double authentification des comptes GoogleGoogle a pourtant été contourné par des hackers. Rappelons que la double authentification, autrement appelée authentification à deux facteurs, ou encore validation en deux étapes chez Google, repose sur la classique saisie d'un identifiant et d'un mot de passe associée à un code à usage unique reçu le plus souvent par SMS pour accéder au compte. Un blindage supplémentaire qui semble impossible à contourner puisque seul l'utilisateur peut recevoir le code temporaire. Et pourtant, Amnesty International a relevé que plus d'un millier de comptes GmailGmail et Yahoo, protégés de cette façon ont été piratés.

    Pour pouvoir accéder aux comptes protégés par ce système, la technique employée par les hackers ne requiert pas de connaissances en informatique pointues ou l'exploitation de vicieux malwares. Il s'agit d'une méthode phishing très élaborée dans laquelle un millier d'utilisateurs sont tombés. L'idée consiste à récupérer le code de double authentification à usage unique et de l'utiliser avant son délai d'expiration.

    Une méthode de phishing élaborée

    Le groupe de pirates a donc convaincu ses cibles en envoyant un e-mail, suffisamment bien conçu pour que les victimes cliquent sur un lien renvoyant vers une fausse page d'identification. À partir de ce moment, l'utilisateur devait saisir ses identifiants et taper également son code. C'est alors que le hacker pouvait faire une demande de récupération de mot de passe et utiliser le code reçu pour accéder au compte et se l'accaparer. Il faut noter que ce phishingphishing élaboré a été réalisé de façon très ciblée en visant précisément des journalistes ou des activistes au Moyen-Orient ou en Afrique du Nord. On peut supposer que le groupe de pirates est lié à un État. Dans le cas de Google, par exemple, rappelons qu'il existe deux autres procédés d'identifications que le code à chiffre reçu par SMS. Il est possible d'opter pour un système de validation par notification, ou encore en enregistrant l'ordinateurordinateur ou le mobilemobile comme appareil autorisé.