EvilProxy : l'outil pour pirater la double authentification

 

L'authentification à double facteur n'est plus synonyme de sécurité ! Des pirates viennent de mettre en place le service EvilProxy, qui parvient à déjouer cette protection. Même les hackers débutants peuvent l'utiliser !

Pour se connecter à des services comme Gmail, Facebook, Microsoft ou Google Docs, il est plus que vivement recommandé d'activer manuellement l'authentification à double facteur – également appelée double authentification –, véritable gage de sécurité. Le principe est simple : en plus de l'identifiant et du mot de passe habituels, l'utilisateur doit fournir un deuxième code pour prouver qu'il s'agit bien de lui. Généralement, il s'agit de rentrer un code envoyé par SMS sur le numéro de mobile que fourni ou d'utiliser une application ou un service d'authentification. Ainsi, si une personne malveillante tente d'accéder au compte grâce à l'identifiant et le mot de passe, une étape supplémentaire est demandée avant de livrer les données. Bref, bien pratique en cas de phishing !

Le problème, c'est que les pirates renouvellent sans cesse leurs techniques et mettent au point de nouvelles stratégies. La dernière en date : le service EvilProxy – également connu sous le nom de Moloch – qui automatise les attaques de phishing et contourne les comptes protégés par l'authentification à double facteur sur les sites et services en ligne les plus populaires, comme Apple, Google, Microsoft, Wordpress, LinkedIn ou encore Twitter. EvilProxy est d'autant plus inquiétant que les annonces pour ce service pullulent sur les principaux forums de hackers et s'adresse aux pirates néophytes – qui n'ont donc pas assez de compétences ni de connaissances pour s'attaquer à de tels géants d'Internet. Cette découverte, réalisée par les chercheurs en sécurité de Resecurity, va de pair avec l'augmentation des attaques contre les services en ligne et les mécanismes de la double authentification.

EvilProxy : une plateforme de piratage tout-en-un

La première mention d'EvilProxy a été détectée en mai 2022, et sa popularité n'a fait que croitre depuis. Une des causes est qu'il est très facile à utiliser, y compris pour les pirates débutants. Il suffit de choisir le type de compte à attaquer – Google, Meta, Yahoo, Dropbox, etc – via un abonnement : 150 dollars pour 10 jours, 250 dollars pour 20 jours et 400 dollars pour 31 jours, payé via Telegram – à noter que les attaques contre Google sont plus chères, allant jusqu'à 600 dollars. Le client malveillant configure et gère ensuite ses campagnes de phishing depuis la plateforme, tandis qu'EvilProxy s'occupe de mettre en place toute l'infrastructure d'attaque et de créer de fausses pages de connexion – très fidèlement reproduites.

 

Celles jouent d'ailleurs un rôle central dans l'opération. Tout commence par une campagne de phishing des plus classiques : le pirate se fait passer pour le service visé – donc Facebook, Google et compagnie – et contacte sa victime par mail, SMS, messagerie instantanée ou les réseaux sociaux, avec un message contenant un lien frauduleux. La victime clique dessus et est renvoyée sur une fausse page de connexion, qui l'invite à entrer ses identifiants. Et c'est là où EvilProxy se montre malin ! La fausse page est un serveur proxy qui va servir d'intermédiaire entre la victime et le site ciblé… en récoltant toutes les informations d'identification au passage. Lorsque la personne rentre ses identifiants, le proxy transmet les informations au site web légitime. Celui-ci renvoie au proxy la demande de double identification – qui est à son tour transmise à la victime. Cette dernière envoie au proxy le code pour la double identification, qui le transmet ensuite au site web, qui retourne au proxy l'accès au compte. Bref, EvilProxy joue le rôle d'un intermédiaire caché.

EvilProxy : un outil à la portée de tous les hackers

Contrairement aux autres attaques de ce type – que l'on nomme des attaques man-in-the-middle (MITM) – EvilProxy propose une approche accessible et même conviviale. Une fois abonnés au service, les hackers reçoivent des vidéos d'instruction et des didacticiels détaillés sur l'utilisation de l'outil. L'interface est claire et permet de configurer simplement ses campagnes. "La location d'EvilProxy nécessite un apprentissage rapide, les cybercriminels disposent ensuite d'une solution rentable et évolutive pour réaliser des campagnes de phishing avancées, visant à compromettre les consommateurs de services en ligne populaires dont l'authentification multifacteurs est activée", explique Resecurity. Cela démontre l'amélioration des arsenaux dont disposent les pirates et la sophistication de leurs campagnes, au grand dam des internautes.

 

 

REF.:   https://www.commentcamarche.net/securite/piratage/26549-evilproxy-l-outil-pour-pirater-la-double-authentification/

 

 

Double authentification Google : obligatoire pour tous

AUTHENTIFICATION GOOGLE. Depuis le 9 novembre 2021, l'identification à deux facteurs est devenue obligatoire pour accéder à un compte Google. Voici tout ce qu'il faut savoir sur cette technique de double authentification qui assure une meilleure sécurité.

Sommaire

• Principe de l'identification à deux facteurs
• Activer la double authentification sur un compte Google

[Mis à jour le mardi 9 novembre à 14 h 40] Pour se connecter à un service Google comme Gmail, YouTube ou encore Google Docs, il suffit de s'identifier avec son identifiant et un mot de passe. Plus exactement, il suffisait : car cette méthode classique et simple utilisée jusqu'à présent a disparu au profit d'une technique plus sécurisée. En effet, depuis le 9 novembre 2021, Google impose la double authentification à tous les utilisateurs de ses services en ligne. Rien de vraiment étonnant en soi, dans la mesure où de nombreux acteurs du numérique – Apple, Microsoft, Facebook, Twitter… –, les banques et certains sites marchands imposent déjà l'identification à deux facteurs (2FA en anglais) pour offrir une meilleure sécurité. Le géant de Mountain View, qui incitait déjà depuis longtemps ses utilisateurs à adopter cette méthode, la généralise de facto après avoir prévenu ses utilisateurs du changement.

En quoi consiste l'identification à deux facteurs ?

Le principe de l'identification à deux facteurs – aussi appelée double authentification – est simple. Dès que vous vous connectez à votre compte à l'aide de vos identifiants sur un appareil inhabituel, par exemple l'ordinateur d'un proche, il vous est demandé de confirmer qu'il s'agit bien de vous à l'aide d'une autre méthode. Il peut s'agir d'indiquer un code envoyé par SMS sur le numéro de mobile que vous avez fourni ou d'utiliser une appli ou un service d'authentification. Ainsi, si un tiers tente d'accéder à votre compte en connaissant votre identifiant et votre mot de passe, une étape supplémentaire est demandée avant de livrer vos données. Une procédure efficace, mais qui se montre relativement contraignante puisqu'elle peut imposer l'utilisation d'un smartphone pour prouver son identité. Mais qu'importe la contrainte : c'est la sécurité d'informations confidentielles et sensibles qui prime, et Google va imposer l'utilisation de cette méthode à tous ses utilisateurs. Rassurez-vous toutefois : la double authentification n'est pas nécessaire quand vous vous connectez avec un appareil "connu" par Google, que vous utilisez quotidiennement. Elle l'est uniquement lorsque vous voulez vous connecter avec un ordinateur ou un mobile "inhabituel".

Comment activer la double authentification sur un compte Google ?

Si vous n'avez pas encore activé la double authentification sur votre compte Google, vous devez la mettre en place maintenant qu'elle est obligatoire. Quelques étapes suffisent. C'est à travers une page Web que les réglages nécessaires pour activer la double authentification sont réunis.

• Avec votre navigateur habituel, rendez-vous sur la page de gestion de votre compte Google. Cliquez sur le bouton Accéder au compte Google en haut à droite et identifiez-vous à l'aide de votre identifiant (votre adresse Gmail) et le mot de passe associé.

• Une fois connecté à votre compte, cliquez sur le menu Sécurité dans la colonne de gauche.

• Dans la page qui s'affiche, repérez la section Connexion à Google. Cliquez sur Validation en deux étapes.

• Une nouvelle page s'affiche et présente le principe de la double authentification. Cliquez sur Commencer.

• Vous êtes invité à saisir une nouvelle fois le mot de passe lié à votre compte Google. Ensuite, Google vous indique les appareils sur lesquels votre compte est actif. Il présente également le numéro de mobile que vous avez enregistré pour votre compte. Vous pouvez en ajouter un autre en cliquant sur le lien Ajouter un numéro de téléphone au bas de la page. Si tout vous convient, cliquez sur le bouton Activer en haut de la page.

• La vérification à deux facteurs est désormais active. Dorénavant, si vous tentez de vous connecter à votre compte Google pour n'importe lequel de ses services sur un appareil inhabituel, vous devrez valider votre identité. A l'aide d'un code reçu par SMS ou en validant la notification expédiée par Google sur l'un des appareils enregistrés. Il suffit d'appuyer sur Oui, c'était moi s'il s'agissait bien d'une tentative de connexion de votre part. Aussitôt l'accès au service Google auquel vous essayez de vous connecter est validé.
• Hackers: EvilProxy s'en réjouit:  https://www.commentcamarche.net/securite/piratage/26549-evilproxy-l-outil-pour-pirater-la-double-authentification/
  

REF.:

Les Hackers prouvent qu'il est possible de contourner l'authentification à deux facteurs

Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer.Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l'introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L'authentification à deux facteurs (2FA) est considérée comme un moyen d'améliorer considérablement la sécurité, mais il s'avère que la contournement est assez simple.Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Dans la vidéo , il montre à quel point il est facile de saisir les détails d'un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui voler ses identifiants de connexion et son accès au site. L'outil Evilginx que Kevin a utilisé pour l'aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.L'attaque est simple. Il nécessite un e-mail qui semble "correct" pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé. Dans l'exemple ci-dessus, l'email provient en fait de llnked.com plutôt que LinkedIn.com.Si vous cliquez sur le bouton "Intéressé" dans l'e-mail, l'internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C'est un autre point auquel un utilisateur suspect va s'arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.en relation
 

   
 


    Authentification à deux facteurs: qui l'a et comment l'organiser;Pendant ce processus, il est possible de voler le nom d'utilisateur, le mot de passe et le cookie de session pour le compte LinkedIn. À ce stade, le nom d'utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L'accès est alors accordé.Ce que Mitnick essaie de montrer ici est, même avec 2FA, l'utilisateur est le maillon faible. S'ils ne prennent pas le temps de vérifier où ils entrent leurs informations sécurisées, aucune sécurité dépendant de l'utilisateur, aussi forte soit-elle, ne fonctionnera.

REF.: