Yahoo Finance La double authentification n’est pas le gage de sécurité ultime
La couche de sécurité standard pour de nombreuses boites de messagerie est obsolète pour de nombreux hackers. Les hackers recommandent d’ajouter une étape supplémentaire.
Qu’on se le dise tout de suite, un mot de passe n’est aujourd’hui pas suffisant pour protéger un compte ou une boite de messagerie. Qu’en est-il de la double authentification, alors ? Depuis quelques années, que ce soit sur Gmail, Outlook ou Facebook, vous pouvez configurer la demande d’un second mot de passe lors d’une connexion à une session. Généralement, vous recevez un message avec un mot de passe unique ou un bouton d’authentification sur votre smartphone. À première vue, cette étape de sécurité devrait empêcher toute connexion extérieure. C’est sous-estimer les hackers. Dans les faits, la double authentification n’empêche pas les piratages depuis quelques années déjà.
Les hackers du célèbre groupe Lapsus$, connus pour avoir volé des données à Microsoft, ou les pirates russes de Nobelium, responsables de l’attaque contre SolarWinds, sont parvenus à contourner la double authentification lors des connexions aux messageries des entreprises victimes.
Pascal Le Digol, directeur France de WatchGuard, nous décrit quelques techniques : « Parmi les méthodes courantes, on peut citer l’ingénierie sociale. Le pirate se place entre le site et l’utilisateur pour directement récupérer le code de connexion. Il peut, par exemple, le tromper en envoyant une fausse page où la victime tapera un mot de passe. On a repéré d’autres procédés comme la capacité de rediriger des SMS pour se connecter en payant ou piratant l’opérateur.
