L'authentification en deux étapes est supposée renforcer la sécurité de vos comptes. Mais les hackers ont désormais recours à l'intelligence artificielle pour la contourner facilement.
La double authentification, aussi appelée 2FA, est devenue une norme pour sécuriser l'accès à la plupart des comptes en ligne. Mais comme toute avancée en sécurité, elle n'a pas tardé à intéresser les pirates, qui cherchent sans cesse de nouveaux moyens de contourner les verrous. Récemment, Gmail a été touché par un malware capable de voler les cookies permettant de saisir le deuxième facteur d'authentification, et donc de pirater le compte.
Mais cette fois, les hackers dégainent une nouvelle arme, corvéable à volonté, disponible 7 jours sur 7 et 24 heures sur 24. Vous l'avez deviné, c'est l'intelligence artificielle qui leur permet désormais de créer des robots conversationnels capables de dérober les codes d'authentification à usage unique (OTP) que les utilisateurs reçoivent lors de la procédure de double vérification.
Le Graal des hackers, l'OTP ou le mot de passe à usage unique, qu'ils vont tenter d'arracher à leurs victimes par tous les moyens
Concrètement, la double authentification consiste à fournir, en plus de vos identifiants habituels, un code de vérification supplémentaire à usage unique. Ce mot de passe éphémère (one-time password ou OTP en anglais) vous est généralement envoyé par SMS, appel vocal ou application mobile. L'intérêt principal de cette procédure est d'empêcher qu'un pirate ayant dérobé vos identifiants de connexion puisse accéder à votre compte.
Mais ces OTP sont justement l'élément convoité par les hackers pour contourner cette sécurité supplémentaire. Pour cela, ils misent sur l'ingénierie sociale et la manipulation en créant des sites web ou des robots d'appel qui se font passer pour des employés d'entreprises « légitimes ». Convaincues par cette mascarade, de nombreuses victimes communiquent alors sans méfiance leur précieux code OTP fraîchement reçu sur leur smartphone.
Une fois l'OTP en leur possession, il suffit aux hackers de le ressaisir sur le vrai site de la société usurpée pour se faire passer pour l'utilisateur, en l'occurrence la victime. En dérobant ce sésame, ils peuvent alors accéder à tous les services en ligne de leur victime. D'où l'importance de se méfier de toute demande suspecte de communication d'un OTP, quel qu'en soit le moyen.
Les chatbots OTP sont dopés à l'IA pour voler vos codes, mais vous pouvez vous en prémunir
Pour arriver à leurs fins, les hackers peu scrupuleux disposent désormais d'outils qui utilisent l'intelligence artificielle pour générer vocalement ou par écrit des scénarios crédibles de manipulation des utilisateurs. Il s'agit de chatbots OTP capables d'appeler automatiquement et massivement ces derniers en se faisant passer pour la hotline d'une entreprise avec une voix naturelle. Ils peuvent même être configurés pour afficher un faux numéro de téléphone officiel afin d'enrober la supercherie.
Au cours de l'appel, le robot conversationnel suit un script préécrit et personnalisé pour inciter la victime à communiquer son code confidentiel, sous un prétexte fallacieux comme un problème de sécurité à résoudre ou une prétendue mise à jour des paramètres. Une fois en possession de l'OTP, les malfaiteurs peuvent alors s'introduire dans les comptes de la victime.
Certains chatbots OTP très élaborés proposent de nombreuses options, comme la personnalisation du nom de l'entreprise usurpée, l'affichage des 4 derniers chiffres de la carte bancaire pour un effet de crédibilité renforcé, ou encore le choix parmi une douzaine de langues. Certains d'entre eux sont proposés à des tarifs pouvant atteindre plusieurs centaines de dollars par semaine pour les versions premium.
Alors, pour séparer le bon grain de l'ivraie, la prudence est votre meilleure arme face aux attaques de phishing visant à dérober vos codes 2FA. Faites bien attention aux liens douteux reçus dans vos e-mails et choisissez plutôt la saisie manuelle de l'URL officielle ou l'utilisation d'un favori.
Avant d'entrer vos identifiants sur un site web, vérifiez que son adresse est parfaitement légitime, sans aucune faute d'orthographe suspecte. Un coup d'œil sur la base de données Whois vous dira s'il a été créé récemment, auquel cas c'est mauvais signe et ça fleure bon le piège !
Ne vous fiez surtout pas aux appels téléphoniques où l'on vous demande votre code confidentiel, aussi convaincant que puisse paraître l'interlocuteur. Aucune entreprise sérieuse ne demande les identifiants de ses clients pour les authentifier.
Source : Kaspersky
01 décembre 2023 à 13h11
29 novembre 2024 à 08h50
