L'authentification à deux facteurs peut être battue, comme l'a montré une démo de hacker. Beaucoup d'attention est accordée à une vidéo publiée où Kevin Mitnick, Chef du piratage de KnownBe4, a révélé l'exploit à deux facteurs.

L'authentification à deux facteurs est "une couche de sécurité supplémentaire qui nécessite quelque chose qu'un employé A et quelque chose qu'il CONNAÎT".

"Le cœur de l'attaque se trouve dans un e-mail de phishing, dans ce cas, un prétendument envoyé par LinkedIn, à un membre indiquant que quelqu'un essaie de se connecter avec lui sur ce réseau social, " a déclaré Doug Olenick, Revue SC .

L'utilisateur obtient une fausse page de connexion. La méthode d'attaque est décrite dans le jargon de la sécurité comme une technique de phishing d'identifiants, ce qui nécessite l'utilisation d'un domaine typo-squattant. L'idée est de laisser l'utilisateur donner ses informations d'identification. Un ami hacker chapeau blanc de Kevin a développé l'outil conçu pour contourner l'authentification à deux facteurs.

Dans ce genre d'attaque, qu'entend-on par domaine de typo-squattage ? C'est un truc, et le « squattage » reflète la façon dont il cybersquatte sur une autre entité. Les internautes qui utilisent l'adresse en lettres délibérément incorrecte avec son usine d'erreur typographique peuvent être dirigés vers un site Web alternatif géré par des pirates.

Mitnick a montré comment tout cela fonctionne, en se connectant à son compte gmail, via un faux e-mail Linked-In.

Matthieu Humphries, PCMag rédacteur en chef et journaliste de presse basé au Royaume-Uni, dit dans l'attaque, un e-mail apparaît ok concernant le site Web ciblé, "ainsi le destinataire ne prend pas le temps de vérifier le domaine à partir duquel il a été envoyé."

Dans ce cas, l'e-mail provenait de llnked.com plutôt que de linkedin.com, ce qui est facile à manquer si vous n'êtes pas à l'affût des faux-semblants. En cliquant sur le bouton « Intéressé » dans l'e-mail, l'utilisateur est dirigé vers un site Web qui ressemble à la page de connexion LinkedIn. En tout, Mitnick a montré qu'il n'était pas si difficile d'aller de l'avant et de récupérer les détails d'un utilisateur de LinkedIn, « simplement en les redirigeant vers un site Web qui ressemble à LinkedIn et en utilisant 2FA contre eux pour voler leurs identifiants de connexion et leur accès au site, " dit Humphries.

La démo a utilisé LinkedIn comme exemple, mais il pourrait être utilisé sur Google, Facebook, et tout autre élément portant une connexion à deux facteurs ; les rapports ont indiqué que l'outil pourrait être « militarisé » pour à peu près n'importe quel site Web.

De façon intéressante, c'était l'année dernière lorsque Russell Brandom a déclaré dans Le bord qu'il était "temps d'être honnête sur ses limites" en référence à l'authentification à deux facteurs. Brandom a expliqué comment la promesse de deux facteurs a commencé à s'effilocher dès le début, les faiseurs de méfaits l'ayant contournée. Il a dit, "il est devenu clair que la plupart des systèmes à deux facteurs ne résistent pas aux utilisateurs sophistiqués."

Néanmoins, il a dit, dans la plupart des cas, le problème n'est pas à deux facteurs lui-même. C'est "tout ce qui l'entoure. Si vous pouvez percer quoi que ce soit à côté de cette connexion à deux facteurs, que ce soit le processus de récupération de compte, appareils de confiance, ou le compte de l'opérateur sous-jacent, alors vous rentrez chez vous gratuitement."

Un conseil évident, cependant, a été proposé et c'est d'être vigilant sur les liens. Aussi, une perspective sur ce qu'est et n'est pas l'authentification à deux facteurs est utile. C'est une solution plus stricte qu'un mécanisme de base de mot de passe uniquement. C'est une couche de sécurité supplémentaire. Mais comme Stu Sjouwerman, PDG , KnowBe4, déclaré:. "L'authentification à deux facteurs est destinée à être une couche de sécurité supplémentaire, mais dans ce cas, nous voyons clairement que vous ne pouvez pas compter sur lui seul pour protéger votre organisation."

© 2018 Tech Xplore