L’authentification à deux facteurs ajoute une couche supplémentaire de défense contre les pirates, même si votre mot de passe est volé ou deviné, un autre point de contrôle bloquera l’accès du compte. Je recommande régulièrement d’activer 2FA comme une décision de sécurité sage, en particulier pour tout compte précieux (par exemple, adresse e-mail principale, services bancaires, etc.). Mais malheureusement, 2FA n’est pas imperméable.
À vrai dire, aucune mesure de sécurité n’est. Pour 2FA, les attaquants ont découvert des moyens de contourner la protection plus forte. Qu’il s’agisse d’exploiter les faiblesses humaines ou les vulnérabilités du système connues, l’effet est similaire à la coupure de la porte pour dépasser le pêne dangereux.
La bonne nouvelle: savoir à quel point les formes courantes de 2FA peuvent être contournées vous aidera à éviter les astuces d’un pirate – et à continuer à profiter pleinement d’avoir 2FA dans votre dos. Pensez-y à échanger dans une plaque de frappe plus forte et des vis plus longues sur votre porte d’entrée.
SMS volés
La forme la plus simple d’authentification à deux facteurs reçoit des codes uniques sur le message texte. Cette méthode est également considérée comme l’une des formes les plus faibles de 2FA car les textes peuvent être interceptés de deux manières différentes.
Le plus connu est la prise de SIM, où un piratage vous vole tout votre numéro de téléphone. Fondamentalement, il est transféré à vous à l’insu de vous; L’attaquant contacte votre opérateur et a votre numéro de téléphone lié à une nouvelle carte SIM (ou ESIM). Ils recevront ensuite tous vos messages texte, y compris les codes 2FA.
L’autre méthode est connue sous le nom d’attaque SS7, dans laquelle le message SMS est redirigé. Vous ne saurez jamais qu’il vous a été envoyé, ni que quelqu’un d’autre l’a reçu à la place. En raison du fonctionnement des protocoles de messagerie, vous ne pouvez pas éviter directement ce type d’attaque.
Comment éviter: Pour vous prémunir contre la prise SIM, contactez le support client de votre opérateur de téléphone (ou consultez dans les paramètres de votre compte) et demandez si vous pouvez créer une broche ou un mot de passe de compte spécial – qui sera requis pour toute modification du compte, y compris le passage à une nouvelle carte SIM.
Mais la meilleure protection consiste à choisir une méthode différente de 2FA, ce qui résout également les problèmes avec les attaques SS7. Les faiblesses de 2FA basées sur le texte sont inhérentes à la façon dont nos systèmes de télécommunications fonctionnent.
Spam d’approbation
Une forme raisonnablement forte d’authentification à deux facteurs est via un type d’application qui envoie une notification push à votre téléphone, demandant la permission d’autoriser de nouveaux appareils. Si vous approuvez la demande, l’accès au compte est accordé.
Les attaquants peuvent armer ce système de notification. En inondant un téléphone ou un appareil avec des demandes, l’utilisateur pourrait donner l’approbation sans vraiment signifier – soit en raison de la fatigue de l’inondation, ou appuyant accidentellement sur le mauvais bouton tout en effaçant les notifications.
Comment éviter: Utilisez des mots de passe uniques et solides pour vos comptes. Soyez également à la recherche d’attaques de phishing. Si un attaquant ne peut pas voler, deviner ou pirater votre mot de passe, il ne peut pas vous spammer avec des demandes d’approbation.
(Et si vous vous retrouvez à vivre ce type d’attaque de fatigue 2FA, modifiez immédiatement le mot de passe de votre compte. Utilisez une autre méthode de vérification 2FA, comme un code de sauvegarde enregistré, si vous devez vous connecter d’abord à votre compte pour le faire.)
Phishing
Les codes 2FA Utilisation peuvent être utilisés par n’importe qui, peu importe s’il est livré par SMS ou généré dans une application. Cela signifie que si vous lisez le code par téléphone ou envoyez une capture d’écran à quelqu’un d’autre, ils peuvent accéder à votre compte s’ils ont le mot de passe.
Les attaques de phishing peuvent voler à la fois votre mot de passe et vos codes d’authentification à deux facteurs – si vous tapez ou entrez ces informations dans une page de connexion fausse ou compromise, un pirate peut ensuite utiliser vos informations d’identification. Il en va de même si quelqu’un vous appelle et demande le code 2FA actuel affiché dans votre application.
Comment éviter: Refusez de donner votre code à quiconque demande. Soyez prudent quant aux sites Web que vous visitez et aux formulaires que vous remplissez. De plus, ne téléchargez pas d’applications ou d’extensions de navigateur qui ne sont pas largement recommandées par les experts. Vous pouvez accidentellement installer des logiciels malveillants sur votre appareil qui voleront silencieusement vos codes 2FA.
Contournement de la clé FIDO
Les clés de sécurité (comme les yubikeys) sont considérées comme la forme la plus sécurisée d’authentification à deux facteurs. Vous devez être physiquement présent pour en utiliser un et vous authentifier avec succès pendant l’étape de vérification 2FA – vous devez appuyer sur un bouton de la touche au bon moment. À moins qu’un attaquant ne met la main sur votre clé de sécurité, il ne peut pas l’utiliser.
Alors, comment cette méthode 2FA peut-elle être compromise? Une forme plus faible de 2fa. Certains services permettent de vérifier de nouveaux appareils d’un appareil déjà autorisé. Alors peut-être que vous vous êtes d’abord connecté et utilisé votre Yubikey pour le faire, mais maintenant vous traitez les demandes ultérieures en utilisant votre appareil existant pour vous authentifier.
Les pirates peuvent ensuite lancer une attaque de spam d’approbation, tout comme indiqué ci-dessus.
Comment éviter: Désactivez cette méthode de connexion pour votre compte. Tenez-vous à la clé de sécurité comme méthode d’authentification 2FA.
