Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé A2F. Afficher tous les messages
Aucun message portant le libellé A2F. Afficher tous les messages

lundi 24 juin 2024

 L’IA est maintenant utilisée dans des cyberattaques pour casser l’authentification à deux facteurs Sécurité

 L’IA est maintenant utilisée dans des cyberattaques pour casser l’authentification à deux facteurs

Sécurité

Par tristan carballeda le 17 juin 2024 à 13h34


L’authentification à deux facteurs a longtemps été un rempart contre les cybercriminels, mais ils ont trouvé une parade.



Depuis quelques années, de nombreux services ont mis en place un système, l’authentification à deux facteurs, pour lutter contre les cyberattaques. En plus du mot de passe demandé pour la connexion à une application contenant des données sensibles (santé, finance ou professionnelle) de plus en plus de logiciels demandent un deuxième code, envoyé au propriétaire du compte par un autre moyen (généralement par SMS ou par e-mail).



Cette protection est aujourd’hui si populaire qu’une étude du groupe Cisco menée en 2021 estimait que 80 % des internautes ont utilisé l’authentification à deux facteurs. Dans 85 % des cas, ce deuxième code arrivé par le biais d’un SMS, une solution facile à utiliser, mais qui présente de nombreuses failles de sécurité.


L’authentification à deux facteurs : pas infaillible

Si cette solution a longtemps permis de lutter contre les cyberattaques, en offrant une protection (presque) inviolable, voilà que les criminels de la toile ont trouvé un trou de souris dans lequel se faufiler. Ils utilisent notamment un robot alimenté par l’intelligence artificielle pour résoudre ce nouveau casse-tête.



Comme l’explique une équipe de chercheurs de l’entreprise Kaspersky, les cybercriminels ont réussi à outrepasser ce système, notamment en utilisant des méthodes de phishing. Autrement dit, les pirates manipulaient les utilisateurs pour que ces derniers donnent, de bonne foi, leur code d’authentification reçu par SMS. Une fois cet élément récupéré, il fallait juste craquer le mot de passe, une action qui ne prend généralement pas plus de trois secondes.


Comment tromper l’utilisateur ?

Pour récupérer le code reçu par SMS, les criminels s’attaquent au maillon le plus faible de la chaîne, l’humaine. Ils vont utiliser un robot pour appeler l’utilisateur. Ce dernier va devoir donner les codes reçus à une « personne de confiance ». Kaspersky explique que ces appels sont personnalisés en fonction des données personnelles récoltées sur la cible. Ils sont conçus au coup par coup par une intelligence artificielle pour les rendre le plus crédibles possible.


Pour arriver à leurs fins, les cybercriminels n’hésitent pas à utiliser plusieurs méthodes, bien souvent illégales. Ils se font ainsi passer pour des agences gouvernementales, votre banque ou encore une institution. Face à une personne disposant d’une autorité morale, l’utilisateur craque bien souvent, offrant le précieux sésame aux criminels. Ces derniers peuvent alors accéder au compte.



Le plus inquiétant dans cette affaire, ce sont les robots OPT, utilisés dans ces attaques. Ils sont disponibles à la pelle sur les forums de cybercriminels. Pour les mettre en fonctionnement et attaquer des centaines de personnes à la fois, il ne faut pas de grande compétence technique, simplement un manque d’éthique et d’empathie pour ses victimes.


REF.: https://www.journaldugeek.com/2024/06/17/lia-est-maintenant-utilisee-dans-des-cyberattaques-pour-casser-lauthentification-a-deux-facteurs/?fbclid=IwZXh0bgNhZW0CMTEAAR0JCK5fLA_bhxOgeDW3Ye4PHiYm9prvIh6ueoUW2R55GANS_8tfQMlDlbI_aem_ZmFrZWR1bW15MTZieXRlcw

lundi 10 avril 2023

Les pirates ont commencé à s'adapter à une utilisation plus large de l'authentification multifacteur


Les pirates ont commencé à s'adapter à une utilisation plus large de l'authentification multifacteur

Image de Brandon Vigliarolo
par Brandon Vigliarolo dans Sécurité
le 8 février 2022 à 10 h 28 HNP

Les chercheurs de Proofpoint ont découvert que les "kits de phishing" disponibles à l'achat en ligne commencent à s'adapter à la MFA en ajoutant des proxys inverses transparents à leur liste d'outils.
Nous pouvons être rémunérés par les fournisseurs qui apparaissent sur cette page par le biais de méthodes telles que des liens d'affiliation ou des partenariats sponsorisés. Cela peut influencer comment et où leurs produits apparaissent sur notre site, mais les fournisseurs ne peuvent pas payer pour influencer le contenu de nos avis. Pour plus d'informations, visitez notre page Conditions d'utilisation.
Image : Adobe Stock/profit_image

Les chercheurs en sécurité de Proofpoint mettent en garde contre une nouvelle menace qui ne fera que s'aggraver avec le temps : les pirates qui publient des kits de phishing commencent à ajouter des fonctionnalités de contournement de l'authentification multifacteur à leurs logiciels.

Proofpoint a déclaré qu'une étude récente de la société MFA Duo a révélé qu'en 2021, 78% des personnes utilisent ou utilisent MFA, contre seulement 28% en 2017. Cette augmentation rapide a sûrement ébouriffé certaines plumes cybercriminelles au cours des dernières années, mais cela signifie à peine qu'ils sont en baisse pour le décompte. Au contraire, les pirates entreprenants sont motivés par un défi comme celui posé par MFA, et Proofpoint semble avoir la preuve qu'ils ont réussi.



Selon Aimei Wei, fondateur et CTO de Stellar Cyber, la technique de phishing man-in-the-middle qui a évolué pour lutter contre la MFA « est déjà là et se produit. Les consommateurs ainsi que les utilisateurs en entreprise sont déjà ciblés.
L'évolution du phishing par procuration

Traditionnellement, selon Proofpoint dans son rapport, les kits de phishing disponibles à la vente en ligne vont de "simples kits open source avec un code lisible par l'homme et des fonctionnalités sans fioritures à des kits sophistiqués utilisant de nombreuses couches d'obscurcissement et des modules intégrés qui permettent de voler des noms d'utilisateur, mots de passe, jetons MFA, numéros de sécurité sociale et numéros de carte de crédit. » La façon dont ils le font généralement consiste à recréer un site Web cible, comme une page de connexion, dans l'espoir de tromper les utilisateurs inconscients.

Avec MFA dans le mélange, les fausses pages sont rendues inutiles : alors qu'un attaquant peut avoir un nom d'utilisateur et un mot de passe, le deuxième facteur reste hors de portée. Entrez ce que Proofpoint appelle "un nouveau type de kit" qui, au lieu de recréer une page, utilise un proxy inverse transparent pour agir comme un homme du milieu. En interceptant tout le trafic entre une victime et son serveur de destination, ces attaques MitM par proxy transparent permettent à l'utilisateur de continuer sans jamais savoir que ses identifiants, et son cookie de session, ont été volés.

En plus de permettre à un attaquant de détourner des informations d'identification et des codes MFA, Proofpoint a déclaré que cette nouvelle technique donne également aux attaquants plus de résistance. « Les pages Web modernes sont dynamiques et changent fréquemment. Par conséquent, présenter le site réel au lieu d'un fac-similé renforce considérablement l'illusion qu'un individu se connecte en toute sécurité », indique le rapport.

Proofpoint a noté qu'il existe trois kits de phishing qui sont devenus les grands acteurs de la sphère MitM du proxy inverse transparent : Modlishka, Muraena/Necrobrowser et Evilginx2. Tous ont des capacités différentes qui les rendent mieux adaptés à certains objectifs, mais ils ont également une grande caractéristique en commun : ils ont été créés à des fins légitimes, comme les tests d'intrusion.



"Bien que les services en ligne puissent utiliser [n'importe lequel de ces trois outils] pour arrêter les tentatives de phishing au fur et à mesure qu'elles se produisent, avec l'augmentation constante des services en ligne que les entreprises utilisent aujourd'hui, il est difficile de s'assurer que [chaque fournisseur] dispose de cette protection, », a déclaré Wei.

Wei et Proofpoint préviennent que les attaques de phishing par proxy transparent MitM ne feront que croître à mesure que de plus en plus d'entreprises adopteront la MFA. Fondamentalement, c'est une mauvaise idée de s'appuyer sur plusieurs facteurs d'authentification comme seule assurance contre les comptes volés.

Notant que Google a commencé à exiger la MFA pour tous ses utilisateurs, Proofpoint a déclaré qu'à mesure que de plus en plus d'organisations, à la fois des entreprises et des consommateurs, adoptent une technologie similaire, les pirates seront plus motivés à se tourner vers des solutions de logiciels malveillants hébergées, prêtes à l'emploi et bon marché. .

"Ils sont faciles à déployer, gratuits à utiliser et se sont révélés efficaces pour échapper à la détection. L'industrie doit se préparer à faire face à des angles morts comme ceux-ci avant de pouvoir évoluer dans de nouvelles directions inattendues », a déclaré Proofpoint.
 

REF.: Bulletin d'informations sur la cybersécurité

https://www.techrepublic.com/article/hackers-have-begun-adapting-to-wider-use-of-multi-factor-authentication/

Twitter, Google, WhatsApp, Telegram... pourquoi la double authentification n'est finalement pas si sécurisée

 

 

Twitter, Google, WhatsApp, Telegram... pourquoi la double authentification n'est finalement pas si sécurisée

14 février 2022 à 12h45

 

La double authentification permet de sécuriser ses comptes en ligne et les données personnelles qui y sont attachées. Néanmoins, l'entreprise suisse Mitto AG, qui fournit les plus grands noms de la tech comme Twitter, Google, WhatsApp ou encore Telegram, s'en sert également pour ses activités de cybersurveillance…

Après les soupçons de surveillance dévoilés en décembre par Bloomberg, Twitter annonce finalement se séparer de son fournisseur d'authentification à deux facteurs, Mitto AG.

Un service utilisé en masse par les géants de la tech

L'authentification à deux facteurs (ou A2F) est un moyen très fiable de protéger ses comptes en ligne, et tout le monde devrait utiliser ce protocole. Néanmoins, l'entreprise suisse Mitto AG – le principal fournisseur dans ce secteur – ne s'est pas tout à fait arrêtée là où elle aurait dû.

Son activité principale est l'envoi de SMS en masse, que les firmes comme Google, LinkedIn, TikTok, WhatsApp, Telegram, etc. utilisent pour les codes d'authentification, mais aussi pour des propositions commerciales et des rappels de rendez-vous.

Son avantage, par rapport à ses concurrents, est qu'elle couvre plus d'une centaine de pays, notamment des zones parfois difficiles d'accès comme l'Iran ou l'Afghanistan. Pour cela, elle a conclu des accords d'interconnexion avec des opérateurs mobiles sur place.

L'A2F et la cybersurveillance ciblée

Mais ces opérateurs lui ouvrent l'accès au protocole de signalisation SS7, peu sécurisé, qui permet assez simplement de géolocaliser un utilisateur, voire même d'intercepter ses communications. En somme, Mitto AG a la capacité d'espionner des personnes ciblées, via leurs smartphones.

Et Ilja Gorelik, ancien cofondateur et directeur de l'exploitation de Mitto AG, aurait justement vendu l'accès à ces réseaux à des gouvernements et des entreprises d'espionnage entre 2017 et 2018.

Il aurait quitté l'entreprise après la publication des allégations de surveillance par Bloomberg, en décembre dernier, sans qu'on sache si cette décision était de son propre chef ou s'il a subi des pressions.

Twitter se sépare de Mitto AG

Bien qu'Ilja Gorelik ait quitté l'entreprise, les allégations de surveillance à l'encontre de la firme suisse ont inquiété le réseau social Twitter, qui a annoncé au sénateur américain Ron Wyden (Oregon) s'être finalement séparé de son partenaire Mitto AG.

Pour l'instant, Twitter n'a pas évoqué la suspension temporaire du système d'authentification à deux facteurs par SMS.

Pour rappel, notamment pour celles et ceux qui s'inquiéteraient après avoir lu ces lignes, le réseau social vous offre deux autres systèmes d'A2F : une application d'authentification et une clé de sécurité. Pour en apprendre plus à ce sujet, nous vous invitons à consulter la page d'aide de Twitter.