Vidéo: Comment hacker n’importe quel compte Facebook sur PC (Novembre 2024)
Programme en deux étapes de Twitter
Demandez à Josh Alexander, PDG de la société d’authentification Toopher, comment vous feriez pour pirater Twitter maintenant que l’authentification à deux facteurs est en place. Il vous dira que vous le faites exactement de la même manière qu'avant l'avènement de l'authentification à deux facteurs.
Dans une courte vidéo amusante sur l'authentification à deux facteurs de Twitter, Alexander félicite Twitter pour son adhésion à un "programme de sécurité en deux étapes" et le fait de faire le premier pas, en admettant qu'un problème existe. Il explique ensuite à quel point l’authentification à deux facteurs basée sur les SMS aide peu. "Votre nouvelle solution laisse la porte grande ouverte", a déclaré Alexander, "pour les mêmes attaques de type homme de force qui ont compromis la réputation des principales sources d'informations et des célébrités".
Le processus commence par un pirate informatique envoyant un email convaincant, un message me conseillant de changer mon mot de passe Twitter, avec un lien vers un faux site Twitter. Une fois que je le fais, le pirate informatique utilise mes identifiants de connexion capturés pour se connecter au vrai Twitter. Twitter m'envoie un code de vérification que je saisis, le transmettant ainsi au pirate informatique. À ce stade, le compte est créé. Regardez la vidéo - cela montre très clairement le processus.
Il n’est donc pas surprenant que Toopher propose un type différent d’authentification à deux facteurs sur smartphone. La solution Toopher conserve une trace de vos sites et activités habituels et peut être configurée pour approuver automatiquement les transactions habituelles. Au lieu de vous envoyer un code par SMS pour effectuer une transaction, il envoie une notification push contenant les détails de la transaction, y compris le nom d'utilisateur, le site et le calcul impliqué. Je ne l'ai pas testé, mais ça a l'air raisonnable.
Éviter la prise de contrôle à deux facteurs
La star de la sécurité Mikko Hypponnen de F-Secure pose un scénario encore plus alarmant. Si vous n'avez pas activé l'authentification à deux facteurs, un malfaiteur qui accède à votre compte peut le configurer pour vous, à l'aide de son propre téléphone.
Dans un article de blog, Hypponen souligne que si vous envoyez des tweets par SMS, vous avez déjà un numéro de téléphone associé à votre compte. Il est facile de mettre fin à cette association. envoyez simplement STOP au code abrégé Twitter de votre pays. Notez cependant que cela arrête également l'authentification à deux facteurs. Envoi de GO l'allume à nouveau.
En gardant cela à l'esprit, Hypponen postule une séquence d'événements effrayante. Premièrement, le pirate informatique accède à votre compte, peut-être via un message de harponnage. Ensuite, en envoyant un message texte à GO depuis son propre téléphone vers le code abrégé approprié et en suivant quelques instructions, il configure votre compte de sorte que le code d'authentification à deux facteurs parvienne sur son téléphone. Vous êtes en lock-out
Cette technique ne fonctionnera pas si vous avez déjà activé l'authentification à deux facteurs. "Peut-être devriez-vous activer le 2FA de votre compte", suggéra Hypponen, "avant que quelqu'un d'autre ne le fasse pour vous." Je ne comprends pas très bien pourquoi l'attaquant ne pourrait pas d'abord utiliser l'usurpation de SMS pour arrêter l'authentification à deux facteurs, puis poursuivre l'attaque. Pourrais-je être plus paranoïaque que Mikko?
