Un malware qui vole le code d’authentification à double facteur
L’authentification à multiples facteurs se présente aujourd’hui comme l’un des protocoles de sécurisation des accès les plus efficaces.
Cela permet de protéger ses accès et aussi de pouvoir se connecter sans craindre une fois des tentatives de phishing. Surtout lorsque on veut se connecter via un autre appareil. L’application de l’authentification à double facteur est étendue sur plusieurs secteurs financiers. Des secteurs bancaires au réseau sociaux en passant par les utilitaires administratifs.
Cet article va aussi vous intéresser : Google Authentificator : un programme informatique malveillant serait capable de dérober les codes de l’authentification à double facteurs
Méthode supplémentaire ajoutée grâce à une authentification à double facteur consiste tout simplement de confirmer son statut après avoir fait rentrer le mot de passe par un code qui est généré automatiquement et envoyer par sms ou email. En d’autres termes en même si le cybercriminel réussi à dérober le mot de passe, lui sera difficile de mettre la main sur le code authentification qui lui est généré instantanément et envoyer par mail au texto.
Mais cette réalité risque de changer. En effet, il semblerait qu’il existe un programme malveillant qui pourrait briser l’authentification à double facteur.
Le vendredi dernier des chercheurs en sécurité informatique ensemble qui l’a découvert un groupe de cybercriminels iranien avait réussi à développer un nouveau malware Android qui serait en mesure de contourner la fameuse authentification. Et cela en dérobant les codes envoyés par SMS à pour la seconde vérification. Ce groupe de pirate informatique se fait appeler « Rampant Kitten ». Il serait en activité depuis maintenant 6 ans. Selon certaines informations, il serait affilié au gouvernement Iranien et chargé dans ce contexte de mener certaines opérations de surveillance de potentiels des ennemis du pays, des organisations telles que l’organisation de la résistance nationale d’Azerbaïdjan ou celle qui lutte pour le peuple du Baloutchistan.
La découverte de ce nouveau programme malveillant a été faite par les spécialistes de la cybersécurité de CheckPoint Research. Ils l’expliquent dans un rapport publié le vendredi dernier. Apparemment une porte dérobée aurait été créé par c’est informatique sur Android. Grâce à cette ouverture, ce dernier peut facilement accéder à certains l’aspect des smartphones pour nos sous Android tel que les Contacts et les messages texte. Ils seraient aussi capables d’activer le micro des smartphones et d’espionner les utilisateurs. Et bien sur la possibilité de facilement s’emparer des codes pour l’authentification à multiples facteurs.
Pour le moment, on sait que la priorité des cybercriminels est de cibler en particulier les services Google. En effet les chercheurs de checkpoint ont affirmé que le programme malveillant se focalise pour le moment sur les messages de double authentification « contenant la chaîne “G-“, un préfixe utilisé sur tous les messages de vérification envoyés par Google ». En pratique, la cible doit être les utilisateurs des services tel que Google Drive, Gmail, etc.
Pour commencer les cybercriminels procède de par une tactique de phishing classique. Ils produisent une page factice du service Google concerné. Ils attendent simplement que l’utilisateur saisie les informations d’identification nécessaires pour accéder à son compte. Avec l’activation de l’authentification à double facteur, le direct informatique profite pour introduire dans le smartphone de leur cible à travers un sms un cheval de Troie. Malware qui leur donnera accès au message. Ils pourront donc récupérer le code d’identification envoyé en second lieu pour l’authentification double.
Toutefois, les chercheurs de la société de cybersécurité ont précisé que ce programme malveillant n’est pas typiquement destiné au service Google même si pour le moment il semble que c’est seulement que dans cet environnement qu’il se focalise. Mais il semblerait que les pirates informatiques utilisent pour réussir à contourner la double authentification imposée par l’application de messagerie Telegram d’autres réseaux sociaux tels que Facebook ou même Twitter. On retiendra par conséquent que le groupe de pirate iranien “Rampant Kitten” tu n’es pas la seule équipe d’hacker à réussir à briser la double authentification. En 2019, le groupe APT20 avait aussi été pressenti pour avoir contourné ce protocole de sécurité. Cependant, la mise en pratique dans des conditions réelles n’est pas aussi simple que cela a l’air. Mais le risque n’est quand même pas à négliger. Si ce protocole est autant ciblé par le cybercriminel, c’est sûrement que dans un certain sens son efficacité est avérée.
Accédez maintenant à un nombre illimité de mot de passe :