Pc-urgence Pirater un compte Gmail, rien de plus simple ! - Pc-urgence

Pirater un compte Gmail, rien de plus simple !

Il suffit de quelques informations facilement accessibles, d’un numéro cible et d’un téléphone pour appeler le service clientèle d’un opérateur mobile pour contourner la sécurité. Car si l’authentification à deux facteurs est pertinente, elle peut aussi ajouter des vulnérabilités.

Si un utilisateur oubli son mot de passe de compte Gmail et s’il a activé l’authentification à deux facteurs (2FA), Google lui envoie un SMS ou l’appelle avec un code de six à huit chiffres. Grâce à ce code unique (ce que Google appelle la vérification en deux étapes), il peut à nouveau accéder à son compte. « Cela fait longtemps que les spécialistes de la sécurité recommandent l’authentification à deux facteurs, et c’est une bonne chose. Mais ce n’est pas infaillible », a expliqué David Jacoby, chercheur en sécurité senior au Kaspersky Lab. Lors du Kaspersky Security Analyst Summit organisé du 8 au 11 avril à Singapour, celui-ci a montré comment des criminels parvenaient à détourner facilement la fonction de sécurité pour accéder au compte Gmail d’un utilisateur. Pour y parvenir, ils ont seulement eu besoin de quelques informations facilement disponibles, d’un numéro cible et d’un téléphone pour appeler le service clientèle d’un opérateur de téléphonie. « Plus, d’une bonne dose de culot », a ajouté le chercheur.

Une détournement simplissime

Cette méthode de piratage a été très facilement exploitée en Suède, pays où est basé David Jacoby, dans lequel un service gouvernemental permet à quiconque de retrouver l’opérateur associé à un numéro de mobile. « C’est un peu dingue et je n’en vois pas l’utilité », a déclaré le chercheur. Dans d’autres pays, on trouve aussi ce genre de services, mais souvent sous forme d’abonnement payant. Une fois la cible sélectionnée, le numéro et celui de l’opérateur identifiés, le pirate appelle son opérateur téléphonique et demande que les appels soient redirigés temporairement vers un autre numéro (qui lui appartient). Lors de sa démonstration, le chercheur a pu facilement rediriger les appels d’une autre personne.

Pour obtenir la redirection, il a simplement expliqué au support technique qu’il attendait un appel téléphonique important, mais qu’il n’avait pas son mobile avec lui. « Effectivement, ils ont activé la redirection d’appels vers le numéro que je leur ai indiqué. Nous avons renouvelé le test avec plusieurs opérateurs de téléphonie différents et tous se sont montrés vulnérables à ce genre d’attaque d’ingénierie sociale », a déclaré David Jacoby. Donc, l’attaquant demande simplement à Google d’envoyer un code de vérification par téléphone, ce code lui est transmis via le mobile sur lequel est redirigé l’appel, et il accède au compte très facilement. Facebook, Twitter et Apple offrent une fonction de sécurité similaire. « Ce n’est pas difficile, c’est même super simple », a déclaré le chercheur.

Manque de vigilance

Selon le chercheur en sécurité, les opérateurs ne sont pas assez vigilants. « C’est une vulnérabilité dans leurs routines, ils ne vérifient pas qui vous êtes », a-t-il expliqué. Tous les opérateurs suédois testés ont été informés par le chercheur, et tous ont répondu qu’ils allaient réviser leurs procédures. « Ils doivent au minimum ajouter une sorte de sécurité technique. Par exemple, envoyer un SMS à l’abonné pour l’informer que son numéro est redirigé. Même si celui-ci n’a pas accès à son téléphone, il pourra voir le message en rentrant chez lui, ou en se connectant à l’app de l’opérateur », a-t-il ajouté. « Il y a tellement de failles dans les procédures que la double authentification n’a plus aucun sens ». Le plus cocasse, c’est que la victime doit activer l’authentification à deux facteurs pour que le piratage fonctionne. « Cela signifie qu’en ajoutant une sécurité supplémentaire, il devient encore plus vulnérable ! »

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Ouvert 24/24

Ouvert 24/24 Week end
border
Un technicien chez vous
24/24 7/7

Rappel Gratuit

Prix:
GRATUIT

Dépannage informatique de nuit

Dépannage informatique paris et ile de france
Prix:
166 €

Antivirus Gratuit

Prix:
GRATUIT

Rappel Gratuit

Prix:
GRATUIT

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence