Des hackers arrivent à contourner le système de double authentification de Google

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 23 décembre 2018 à 12h20
hacker-spy-espion.png

L'authentification à deux facteurs, saluée pour avoir renforcé la protection des connexions en ligne, a pourtant été contournée par de malins hackers.

S'il n'est pas encore totalement répandu, il est de plus en plus courant de rencontrer le système de l'authentification à deux facteurs, ou 2FA en abrégé, qui offre une sécurisation renforcée dès lors que nous nous connectons depuis un autre appareil. En plus d'un mot de passe, le système implique que la société qui possède le site vous envoie, sur votre mobile, un code à saisir, pour prouver que vous êtes bien l'auteur de la démarche et ainsi empêcher un éventuel pirate d'aller au-delà de l'accès au premier facteur (le mot de passe). Pourtant, un rapport d'Amnesty International révèle que des hackers sont parvenus à se jouer du mécanisme sur Gmail et Yahoo.

Un système bien plus évolué que du phishing classique

Le rapport d'Amnesty International détaille la manière dont les pirates ont agi pour contourner le système de craquage, bien plus élaboré qu'un phishing classique. Ils ont d'abord envoyé des alertes de sécurité assez convaincantes, par mail, pour guider leurs cibles vers de faux sites. Ensuite, ils ont demandé à l'utilisateur de s'enregistrer via un code d'authentification à deux facteurs. Après qu'ils ont reçu le code, les pirates ont envoyé à la cible un formulaire pour procéder au changement de son mot de passe. Ainsi, ils ont pu, avant l'expiration du code, le taper dans la page de connexion des boites Gmail et Yahoo, et y accéder.

Les pirates ont ciblé près d'un millier de comptes Google et Yahoo, essentiellement des journalistes et activistes du Moyen-Orient et d'Afrique du Nord, en 2017 et 2018. Les attaquants pourraient provenir de pays du golfe Persique et visaient, selon Amnesty international, des dissidents issus des Émirats arabes unis.

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, responsable de l'actu
XLinkedIn

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Keorl

Plus de peur que de mal dans le titre : il y a phishing. Certes un phishing malin qui arrive à se jouer des 2 facteurs, mais le système en lui même n’est pas cassé.

astronaute2_1_1

Ça y est, on est en plain dans la fake news.
Personne n’a piraté le système 2FA de Google, il s’agit du phishing.

avandoorine

effectivement rien d’extraordinaire, ils ont soumis les login/pass a google et laisser le système envoyer l’authentification 2 facteur puis demander celle-ci à l’utilisateur…
il n’ont rien contourner ils ont réussi obtenir les deux authentification tout simplement.
C’est pour ça qu’une meilleur double authentification deux facteurs c’est bien un système physique.

Biggs

« Après qu’ils aient reçu le code » => Après qu’ils ONT reçu le code.

« Après que » toujours suivi de l’indicatif.

Rayvolt

@Alexandre Boero, veuillez VOUS TAIRE et retourner prendre des cours de journalisme… ah zut oui c’est vrai vous n’êtes pas un vrai journaliste mais juste un vulgaire blogeur que clubic a certainement embauché sans vérifier son CV. Votre titre est racoleur et mensonger. Il n’y a pas de piratage vous dites de la lerd. C’est même HONTEUX pour vous.

DebiusG_1_1

Bonjour, on ne détourne pas un système de sécurité, on le contourne. Par contre, on détourne un usage.

jardinero

Le systeme en lui même est suffisamment efficace pour que l’on doive tromper le titulaire du compte.
En tout cas jusqu’ici .
L’oeuvre de hackers mercenaires probablement.

eykxas

Fake news. La méthode décrite ici ne permet pas de pirater un compte. Soit Clubic n’a pas mentionné tous les détails, soit vous relayez une Fake news.

Je m’explique, le code temporaire à une validité uniquement sur le serveur duquel il est envoyé.

Même si on fake un formulaire de connexion qui redirige vers les serveurs de Google, comme les serveurs de Google n’ont pas initié de code temporaire, ils ne peuvent faire la comparaison.

La technique la plus probable, c’est qu’un vrai formulaire de connexion Google soit mis dans le fishing pour que le pirate récupère le “token” de validité. Mais il me semblait que les tokens étaient expirés juste après leur validation.

AlexLex14

À deux jours de Noël, écrire un commentaire pareil… tu ne te rends même pas compte de la portée de tes mots ? De ce qu’ils peuvent causer chez la personne à qui ils sont destinés ? Tu penses que nous sommes des pantins sans émotions, stupides et zinzins ? Qu’on peut tout encaisser et que tu peux saper le moral des gens ainsi ? Mais nous sommes des humains, avec notre personnalité, avec nos sentiments, avec notre vécu.

Toi, ô grand courageux qui se cache derrière un vulgaire pseudonyme… tu n’es qu’un sombre imbécile. Je te le dis.

Tu te permets de dénigrer gratuitement et sans aucun argument des personnes sous prétexte que tu n’es pas d’accord avec ce qu’elles écrivent… C’est toi qui devrait avoir honte.

Tu devrais mesurer un peu tes paroles avant de balancer certaines choses. Ce sont des personnes comme toi qui font que le monde va mal… Surtout que tu ne me connais pas, et tu ignores sans doute que j’ai été diplômé avec mention, que j’ai mené des enquêtes, interviewé sur des dossiers sensibles, écrit pour différentes rédacs, mais bon, je ne suis pas là pour étaler mon CV, les gens s’en fichent de ça et ils ont bien raison.

Je pense sincèrement que ta vie ne doit pas être très joyeuse mon gars pour balancer certaines choses… Et de temps en temps, il faut que les gens comme toi prennent conscience du mal qu’ils peuvent causer, sans s’en rendre compte.

La liberté d’expression n’a pas de prix, mais le respect non plus. À bon entendeur.

Et à partir du moment où il y a une volonté de détourner un système informatique d’une manière illégale, on peut parler d’attaque informatique (comme le précise Amnesty International), donc, on peut parler de hacking et de piratage informatique. Nous ne faisons que relayer un rapport d’Amnesty International, et pour le moment, nous sommes bien obligés de constater que ni Yahoo ni Google n’ont daigné contredire ce qui est affirmé dans le rapport. Donc avant de parlez de fake news, allez-y molo également s’il vous plaît.

Sur ce, et là je m’adresse aux gens qui ont un peu d’humanité et qui font des réponses constructives : je vous souhaite un agréable Noël auprès de celles et ceux que vous aimez :wink:

Peace

Keoden

L interface chaise/clavier reste la plus fragile…

Dernières actualités
Offre exclusive Clubic pour le Cyber Monday : obtenez 15% de réduction supplémentaire pour NordPass
Offre exclusive Clubic pour le Cyber Monday : obtenez 15% de réduction supplémentaire pour NordPass
Proton offre une remise de 50 % sur son gestionnaire de mots de passe pour le Black Friday
Voici les nouveautés à venir dans Proton Mail, Calendar, Drive et Pass
Les gestionnaires de mots de passe des navigateurs : pratiques, mais pas fiables
Pourquoi la double authentification n'est pas aussi sûre que vous le pensez
On ne compte plus les scams qui pullulent sur Facebook, le dernier cible Bitwarden
Plus pratique, plus jolie, voici la nouvelle version de Google Authenticator
Le palmarès 2024 des pires mots de passe est là, et il ne surprend (malheureusement) personne
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles