Des hackers arrivent à contourner le système de double authentification de Google

23 décembre 2018 à 12h20
33
hacker-spy-espion.png

L'authentification à deux facteurs, saluée pour avoir renforcé la protection des connexions en ligne, a pourtant été contournée par de malins hackers.

S'il n'est pas encore totalement répandu, il est de plus en plus courant de rencontrer le système de l'authentification à deux facteurs, ou 2FA en abrégé, qui offre une sécurisation renforcée dès lors que nous nous connectons depuis un autre appareil. En plus d'un mot de passe, le système implique que la société qui possède le site vous envoie, sur votre mobile, un code à saisir, pour prouver que vous êtes bien l'auteur de la démarche et ainsi empêcher un éventuel pirate d'aller au-delà de l'accès au premier facteur (le mot de passe). Pourtant, un rapport d'Amnesty International révèle que des hackers sont parvenus à se jouer du mécanisme sur Gmail et Yahoo.

Un système bien plus évolué que du phishing classique

Le rapport d'Amnesty International détaille la manière dont les pirates ont agi pour contourner le système de craquage, bien plus élaboré qu'un phishing classique. Ils ont d'abord envoyé des alertes de sécurité assez convaincantes, par mail, pour guider leurs cibles vers de faux sites. Ensuite, ils ont demandé à l'utilisateur de s'enregistrer via un code d'authentification à deux facteurs. Après qu'ils ont reçu le code, les pirates ont envoyé à la cible un formulaire pour procéder au changement de son mot de passe. Ainsi, ils ont pu, avant l'expiration du code, le taper dans la page de connexion des boites Gmail et Yahoo, et y accéder.

Les pirates ont ciblé près d'un millier de comptes Google et Yahoo, essentiellement des journalistes et activistes du Moyen-Orient et d'Afrique du Nord, en 2017 et 2018. Les attaquants pourraient provenir de pays du golfe Persique et visaient, selon Amnesty international, des dissidents issus des Émirats arabes unis.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
33
27
Keorl
Plus de peur que de mal dans le titre : il y a phishing. Certes un phishing malin qui arrive à se jouer des 2 facteurs, mais le système en lui même n’est pas cassé.
astronaute2_1_1
Ça y est, on est en plain dans la fake news.<br /> Personne n’a piraté le système 2FA de Google, il s’agit du phishing.
avandoorine
effectivement rien d’extraordinaire, ils ont soumis les login/pass a google et laisser le système envoyer l’authentification 2 facteur puis demander celle-ci à l’utilisateur…<br /> il n’ont rien contourner ils ont réussi obtenir les deux authentification tout simplement.<br /> C’est pour ça qu’une meilleur double authentification deux facteurs c’est bien un système physique.
Biggs
« Après qu’ils aient reçu le code » =&gt; Après qu’ils ONT reçu le code.<br /> « Après que » toujours suivi de l’indicatif.
Rayvolt
@Alexandre Boero, veuillez VOUS TAIRE et retourner prendre des cours de journalisme… ah zut oui c’est vrai vous n’êtes pas un vrai journaliste mais juste un vulgaire blogeur que clubic a certainement embauché sans vérifier son CV. Votre titre est racoleur et mensonger. Il n’y a pas de piratage vous dites de la lerd. C’est même HONTEUX pour vous.
DebiusG_1_1
Bonjour, on ne détourne pas un système de sécurité, on le contourne. Par contre, on détourne un usage.
jardinero
Le systeme en lui même est suffisamment efficace pour que l’on doive tromper le titulaire du compte.<br /> En tout cas jusqu’ici .<br /> L’oeuvre de hackers mercenaires probablement.
eykxas
Fake news. La méthode décrite ici ne permet pas de pirater un compte. Soit Clubic n’a pas mentionné tous les détails, soit vous relayez une Fake news.<br /> Je m’explique, le code temporaire à une validité uniquement sur le serveur duquel il est envoyé.<br /> Même si on fake un formulaire de connexion qui redirige vers les serveurs de Google, comme les serveurs de Google n’ont pas initié de code temporaire, ils ne peuvent faire la comparaison.<br /> La technique la plus probable, c’est qu’un vrai formulaire de connexion Google soit mis dans le fishing pour que le pirate récupère le “token” de validité. Mais il me semblait que les tokens étaient expirés juste après leur validation.
AlexLex14
À deux jours de Noël, écrire un commentaire pareil… tu ne te rends même pas compte de la portée de tes mots ? De ce qu’ils peuvent causer chez la personne à qui ils sont destinés ? Tu penses que nous sommes des pantins sans émotions, stupides et zinzins ? Qu’on peut tout encaisser et que tu peux saper le moral des gens ainsi ? Mais nous sommes des humains, avec notre personnalité, avec nos sentiments, avec notre vécu.<br /> Toi, ô grand courageux qui se cache derrière un vulgaire pseudonyme… tu n’es qu’un sombre imbécile. Je te le dis.<br /> Tu te permets de dénigrer gratuitement et sans aucun argument des personnes sous prétexte que tu n’es pas d’accord avec ce qu’elles écrivent… C’est toi qui devrait avoir honte.<br /> Tu devrais mesurer un peu tes paroles avant de balancer certaines choses. Ce sont des personnes comme toi qui font que le monde va mal… Surtout que tu ne me connais pas, et tu ignores sans doute que j’ai été diplômé avec mention, que j’ai mené des enquêtes, interviewé sur des dossiers sensibles, écrit pour différentes rédacs, mais bon, je ne suis pas là pour étaler mon CV, les gens s’en fichent de ça et ils ont bien raison.<br /> Je pense sincèrement que ta vie ne doit pas être très joyeuse mon gars pour balancer certaines choses… Et de temps en temps, il faut que les gens comme toi prennent conscience du mal qu’ils peuvent causer, sans s’en rendre compte.<br /> La liberté d’expression n’a pas de prix, mais le respect non plus. À bon entendeur.<br /> Et à partir du moment où il y a une volonté de détourner un système informatique d’une manière illégale, on peut parler d’attaque informatique (comme le précise Amnesty International), donc, on peut parler de hacking et de piratage informatique. Nous ne faisons que relayer un rapport d’Amnesty International, et pour le moment, nous sommes bien obligés de constater que ni Yahoo ni Google n’ont daigné contredire ce qui est affirmé dans le rapport. Donc avant de parlez de fake news, allez-y molo également s’il vous plaît.<br /> Sur ce, et là je m’adresse aux gens qui ont un peu d’humanité et qui font des réponses constructives : je vous souhaite un agréable Noël auprès de celles et ceux que vous aimez <br /> Peace
Keoden
L interface chaise/clavier reste la plus fragile…
wannted
vraiment moyen l’article, j’ai l’impression de retrouver le Clubic des années M6
acetone802000
Belle argumentation !<br /> J’adhère sans réserves.
Krypton_80
Je ne vois pas trop en quoi c’est plus évolué que du phishing classique : &lt;&lt; Ils ont d’abord envoyé des alertes de sécurité assez convaincantes, par mail, pour guider leurs cibles vers de faux sites. &gt;&gt; - Partant de là, s’il y a encore des gens qui ne savent pas détecter des courriels douteux, c’est autre chose, et pour reprendre un commentaire ici, c’est toujours de l’interface chaise/clavier que vient le problème au départ.<br /> Après, ce que font les hackers pour contourner le système de double authentification de Google grâce aux retours obtenus suite au phishing, ça n’est pas si sophistiqué que ça puisque c’est d’un faux courriel avec réponse (du phishing réussi donc) que partent les pirates. La question initiale c’est de savoir comment ils obtiennent leurs adresses e-mail pour choisir leurs victimes potentielles.
claudemc
l’article est clair, le titre représente exactement ce que je pensais y trouver, je regrette perso de ne pas avoir eu de détail sur les auteurs qui s’attaquent à des dissidents des émirats, je ne demande pas plus de détails à vrai dire si on peux éviter de vulgariser les bonnes méthodes de phishing.
karaktus_1_1
Bien joué pour ce titre putaclic, ça peut informer des novices de l’existence du phishing
kijuhy
Je suis désolé mais oui c’est bien un hack, malgrès que ça repose sur du phising faire sauter la double auth c’est très rare.<br /> Donc oui le procédé est simple, oui la technique est simple, mais oui c’est plutôt inédit.<br /> Enfin étant moi même admin de plusieurs infra google cloud je pense être susceptible (alors que je suis parano niveau sécu) de me faire avoir.<br /> J’aimerai bien avoir la clé titan pas vendu en France
Feunoir
attention aussi aux mots de passe application du coté de microsoft<br /> on croit être a l’abri avec la double authentification, mais pour explorer une boite mail microsoft suffit d’un logiciel de messagerie en IMAP + le mot de passe application si il y en a un qui a été générè pour un vieux soft/site microsoft (ils sont sous la forme de 16 lettres minuscules)<br /> Donc bien désactiver les mots de passe application sur votre compte microsoft pour être tranquille (vu que l’Imap n’est pas désactivable contrairement à chez Gmail)
XxIluvatar_1_1
Hum contrairement à ce que beaucoup de gens pensent, ici compris, l’authentification à double facteur est relativement facile à faire sauter…<br /> Étant moi même RSSI j’ai toujours eu du mal à expliquer à quel point c’était simple à mettre en place…<br /> Mais depuis peu je diffuse au personnel qi utilise le SI de mon entreprise la vidéo d’un jeune youtuber (miicode) qui as réussi à parfaitement bien vulgariser et expliciter la procédure :<br /> Voici sa vidéo: https://youtu.be/tqrZAy-JJew
Vinganield_1_1
Salut les gars. Je suis une belle et mechante fille qui veux etre votre amant et ami! Mes fotos sexy et des contacts ici &gt;&gt; http://tinders.ml
ellis2323
@XxIluvatar on peut etre serieux: c’est du simple fishing. La double n est en aucun cas compromise. Tu ne fais rien sauter, tu profites de la betise des gens: Si je t envoie un courier se faisant passer pour une banque te demande ton IBAN et que tu me reponds, vas tu dire que la securite des banques est compromise ?<br /> La seule regle c est de ne jamais ouvrir un lien pour aller sur un site (mail, sms, messenger, whatsapp). C’est explique par mail lorsque tu payes tes impots.<br /> Bref un titre racoleur et trompeur n’en deplaise a son auteur a qui je souhaite un bon noel quand meme.
XxIluvatar_1_1
@ellis2323 certe mail double authentification en tant que tel n’est pas compromise.<br /> Le problème c’est que 95% des attaques réussis proviennent d’une défaillance humaine et non technique.<br /> Les gens qui ont activé la double authentification sont persuadés, faute à un marketing profitant de l’ignorance du public non averti, d’être intouchable et surtout pas soumis au méchant fishing …<br /> Sous estimer le fishing est une erreur que grand nombre de personne font…<br /> Si on part dans le “techniquement” cette technologie est quasiment (car en informatique la sécurité à 100% n’existe pas et ceux qui me pensent sont incompétent) infaillible, inventer une double authentification était inutile…<br /> Car en soit casser un ssl sha512 pour protéger un mot de passe n’est déjà pas possible dans un temps inférieur à quelque siècle…<br /> Mais le mot de passe est souvent facile à trouver (attaque par dictionnaire, fishing, etc.) car, on y revient, les utilisateurs sont négligeants…<br /> Bon noël à tous!
ddrmysti
Il a osé ne pas faire une apologie sans concession du sacro saint google, ça mérite au moins la lapidation avec des vieux téléphones android abandonné qui ont au moins 6 mois (ces antiquités).<br /> Il y a des sites où on en a crucifiés pour moins que ça.
Momozemion
Réfléchir 3 minutes pour savoir quel titre trompeur on va mettre avant le copier-coller d’un truc récupéré sur Reddit ou ailleurs, tu appelles ça du journalisme?<br /> Clubic a réussi ce truc phénoménal: devenir encore plus mauvais que quand ils nous expliquaient que c’était la faute de M6 s’ils ne faisaient que de la merde. Et un autre, il y a des gars comme toi pour aimer ça et en demander encore.
Momozemion
“Car en soit casser un ssl sha512 pour protéger un mot de passe n’est déjà pas possible dans un temps inférieur à quelque siècle…”<br /> Cette simple phrase nous montre que tu ne sais vraiment pas de quoi tu parles. Tu pourrais candidater à la rédaction de Clubic, tu serais payé pour nous faire profiter d’approximations poussées au point qu’elles sont mensongères.
DebiusG_1_1
@Rayvolt: Du calme… Inutile d’incendier l’auteur comme vous le faites. Essayez de développer vos arguments plutôt que de proférer des attaques ad personam. Cela fera avancer le débat. Merci.
ultrabill
Titre : “Un hacker contournent la double authentification de Google”<br /> Contenu : “Un gars a fait une réinit de mot de passe quand sa femme était aux toilettes, elle avait laissé son téléphone dans le salon”<br /> Nan mais sérieusement y’a aucun contournement technique dans cette histoire. Juste l’exploitation de l’inattention des gens : c’est du phishing, pas du hack.<br /> Pour faire simple la double authentification n’est pas du tout compromise.<br /> Même s’il est important de rappeler de faire gaffe aux mails (c’est louable), le titre est anxiogène et mensonger. Ça c’est du racolage putaclic tendance “Gala / Voici / Closer” dont Clubic n’a pas le droit de s’inspirer, vous valez mieux que ça.
XxIluvatar_1_1
Je veux bien que tu m’explique à quel moment je ne sais pas de quoi je parle…<br /> Avec au moins un argument si ce n’est trop demandé…<br /> Pour toi on peut casser les protection ssl mise en place sur les site web en moins de quelque siècle?<br /> Ou alors tu considère que le ssl ne protège pas le mot de passe ?<br /> Ou tu insinue que la double authentification n’a pas était inventée dans le seul but de renforcer la sécurité de l’interface chaise / clavier ?
Momozemion
Je dis juste qu’il te manque la logique la plus élémentaire pour commencer.<br /> Si le premier essai est le bon, et ça, ce n’est en rien le protocole de chiffrement utilisé qui changera quoi que ce soit, cela aura mis le temps de faire cette première tentative et en aucun cas plusieurs années.<br /> Ceci dit, la dernière phrase de ton nouveau commentaire montre bien à quel point tu ne piges rien à rien, ne serait-ce que parce qu’elle n’a aucun rapport avec le reste de ton propos.
XxIluvatar_1_1
Hum c’est sûrement parce que je ne pige rien à rien mais ton commentaire est très loin d’être clair…<br /> De ce que semble dire ton commentaire le protocole de chiffrement n’a rien à voir avec la sécurisation du mot de passe…<br /> Sous prétexte que si lors de ton brute force le mot de passe était découvert du premier coup. Tout le reste ne sert à rien o_O, tu base donc tout ton raisonnement sur une chance de cocu qui n’a statistiquement quasiment aucune chance d’arrivée.<br /> Mon propos d’origine était de dire qu’il ne faut pas sous estimer le fishing car la majorité des mot de passe complexe se font récupérer par des méthodes de fishing. Et bien que la double authentification revêt tout un tas davantage elle ne protège en rien du fishing.<br /> Et pour les mot de passe les seul moments où on peut considérer qu’il soit interceptable c’est soit lors de la création/modification de celui ci soit lors de l’authentification… En gros au moment ou l’utilisateur réalise de la saisie transportée via ssl … ensuite le mdp est stocké en BD hashé (enfin si le site est codé par des gens responsable).<br /> Et aussi bien cassé du ssl ou du hash sha512 en brute force on parle bien de plusieurs siècle avec les techno et connaissance actuel… (Bien que cassé du hash n’existe pas c’est plutôt de l’attaque par dictionnaire) mais tout ceci n’est valable que si les utilisateurs respectent les recommandations (+ de 14 char aléatoire en minuscule, majuscule, chiffre et char spéciaux).
J_P_M
Exact ! Mais le français est malmené partout.
Momozemion
C’est édifiant.<br /> Un gugusse qui ne pige pas le tiers des mots qu’il utilise veut me donner un cours de sécurité informatique…<br /> Sais-tu au moins ce qu’est un algorithme de chiffrement, à quoi il sert ? Il est plus qu’évident que non. Le plus épatant est que tu dis toi-même dans ton commentaire qu’on se fout comme de la couleur du slip de Jules César du protocole de chiffrement dans notre problématique.<br /> En résumé, l’algorithme de chiffrement sert en interne au système pour le stockage. En aucun cas il ne joue sur la complexité du mot de passe, alors que ce n’est que de ceci dont on parle.<br /> Donc explique-moi à quel moment il est pertinent de parler du niveau de chiffrement dans le système de gestion pour faire des bruteforce ? Mais je crois que même ce mot-là tu ne le connais pas. Si ton mot de passe c’est « password », quel que soit la mécanique derrière, ce n’est en aucun cas un coup de bol si je casse ton compte en 5 minutes et pas en un milliard d’années. S’il y a bien un truc dont on se contrefout quand on fait du bruteforce, c’est bien de l’algo.<br /> Ta banque peut bien utiliser le Momozemion7000, l’algo de chiffrement le plus fiable du monde, ton mot de passe c’est 4 chiffres, soit 10000 combinaisons. Une chance sur 10000 de trouver ton mot de passe, on est très proche du « bol de cocu » dont tu parles. Plus rigolo : l’essentiel des neuneus dans ton genre va choisir une date pour retenir ces 4 chiffres. Ce qui me fait une chance sur 366 de trouver le mot de passe en un seul essai, 30 fois plus.<br /> A ton avis, lors d’une campagne de fishing, on s’attend à un retour de combien d’utilisateurs assez cons pour se faire piéger ? Parce que là, le super système des banques (et ce n’est qu’un exemple) me donne un taux de réussite d’environ 3 pour mille au premier essai, soit 1% de chance en 3 essais pour l’essentiel des comptes des clients.<br /> C’est sûr que c’est pas en venant sur un site comme Clubic que tu vas réussir à avoir de vraies infos et pas de la soupe marketing avec 3 mots techniques qui ne sont là que pour afficher des pubs.
reith
ce qui est assez fantastique c’est que tous les crackers et autres hackers des cloaques crapoteux arabo-islamiques sont tous formés soit aux Etats-Unis soit en Europe!
Alexei
Je ne veut pas être méchant mais presque tout les antivirus ont un antispam donc le «&nbsp;envois une alerte de sécurité assez convaincante&nbsp;» marche moyen /:
Voir tous les messages sur le forum

Actualités du moment

Apollo 8 : le premier vol à s'être placé en orbite autour de la Lune fête ses 50 ans
Santé : bientôt un capteur à ingérer contrôlable en sans fil
Indiescovery #5 : Iris.Fall
La CNIL sanctionne Uber de 400 000€ pour atteinte à la sécurité des données
Mars Express dévoile une photo d'un cratère entièrement recouvert de glace
Apple Plans ajoute les informations de transport en Belgique et en Suisse
Apple : après la Chine, Qualcomm fait bloquer la vente de certains iPhone en Allemagne
🔥 Bon plan Noël : l’abonnement 3 ans à NordVPN à 2,60€ par mois
Fuites chez Samsung et Huawei : les design de trois modèles dévoilés
🔥 Bon Plan Noël : Abonnement Shadow + Trackmania en promo à 30€ par mois
Haut de page