L’authentification double facteurs n’est plus le meilleur rempart contre les pirates

Des techniques pour contourner l’authentification double facteurs existent depuis un certain temps, mais leur recours augmente à au fil de l’apparition de divers outils qui simplifient la tâche des pirates. Au coeur du problème : les cookies de connexion. Il devient de plus en plus urgent de trouver une alternative.

L’authentification double facteurs (2FA) devait mettre, au moins pour un certain temps, un terme aux piratages sur les comptes en ligne. Et pourtant… depuis quelques années diverses techniques existent pour la contourner. Il faut dire d’emblée qu’en 2021/2022, en matière d’authentification double facteurs, il y a à boire et à manger. Plusieurs modes coexistent, sans apporter tout à fait le même niveau de sécurité.

Majoritaire, le mode d’authentification double facteur préféré des sites et institutions est celui qui repose sur des codes à usage unique (OTP). Ces derniers sont soit générés dynamiquement par une application sur votre smartphone, ou un dispositif externe. Ou – et c’est hélas le plus souvent le cas – ils peuvent être reçus par SMS lorsque nécessaire.

Un nombre inquiétant d’outils simplifie le piratage des comptes protégés par l’authentification 2FA

A côté de ce type d’authentification, il y a également les modes 2FA reposant sur les clés de sécurité physiques comme Yubikey et Google Titan. A chaque fois l’idée est la même : en plus de votre identifiant et de votre mot de passe, toute connexion à vos comptes suppose de transmettre autre chose, afin de s’assurer une dernière fois de votre identité.

Sur le papier, la méthode semble imparable. Mais on découvre très vite des failles béantes. Par exemple, il est relativement trivial de contourner l’authentification double facteurs lorsque cette dernière repose sur des codes OTP reçus par SMS. Le pirate peut pour cela employer la technique du SIM Swap s’il détient quelques données personnelles sur vous.

Concrètement il se fera alors passer pour vous auprès de votre opérateur, et demandera un double de votre carte SIM qui lui permettra de recevoir tous vos SMS. Ils peuvent aussi infecter le smartphone de leur victime, et ainsi espionner sa messagerie. Des risques contre lesquels l’utilisation d’un générateur de code physique ou sur le smartphone peuvent réduire. De même que les clés de sécurité physiques.

Pourtant, une étude co-réalisée par l’Université Stony Brook et la firme Palo Alto Networks met en lumière la popularité grandissante de nouvelles méthodes encore plus redoutables contre l’authentification double facteurs facilitées par des toolkits distribués sur le dark net. On parle ici de solutions tout-en-un qui industrialisent les campagnes de phishing et simplifient le vol de données de connexion 2FA, de sorte que même un pirate peu expérimenté peut parvenir à ses fins.

Grâce au cookies de connexion, activer ou non l’authentification double facteurs n’a que peu d’importance

En tout, les chercheurs rapportent avoir détecté plus de 1200 de ces outils qui menacent de rendre la sécurité de l’authentification double facteurs quasiment dérisoire. Ces derniers ne s’attachent d’ailleurs même plus à voler des codes de connexion à usage unique – à la place, il s’agit surtout d’extraire vos cookies de connexion, ces petits fichiers qui contiennent toutes les données nécessaires pour confirmer que vous êtes bien authentifié.

Selon les chercheurs, ces cookies sont en général volés de deux manières. Les pirates peuvent en effet infecter leur victime avec un malware spécialisé, ou ils peuvent les aspirer directement en se faisant passer pour un hostpot WiFi public. Une technique dite du “Man-in-the-Middle” (MitM). Une fois que les pirates sont en possessions de ces cookies, ils ont un accès illimité à vos comptes depuis n’importe quelle machine.

Tout du moins jusqu’à ce que les cookies en question arrivent à expiration. Sur certains comptes comme Facebook, Instagram ou TikTok ces cookies peuvent avoir une date d’expiration très éloignée, ce qui représente un risque accru pour les victimes. Reste à savoir comment colmater ce gros point faible dans la chaîne sécuritaire du net : les cookies de connexion apparaissent en effet à ce stade comme un dispositif à revoir entièrement pour mieux sécuriser la sécurité des comptes en ligne.

Un comble alors que depuis des années les plateformes en ligne tentent de généraliser l’emploi de l’authentification double facteurs, qui peine encore à s’imposer. Ce que montre en tout cas cette étude c’est qu’il y a encore pas mal de travail pour sécuriser nos données sur internet, avant même de parler d’authentification double facteurs. Reste à savoir combien de temps la situation perdurera avant qu’une solution réellement efficace ne soit disponible.