Double authentification : les pirates adaptent leurs stratégies

La double authentification (2FA), longtemps présentée comme un rempart quasi infaillible, n’est plus une protection absolue contre les cyberattaques. Une nouvelle technique développée par des hackers permet désormais de contourner ce mécanisme en détournant les cookies de session via un faux portail de connexion, placé entre l’utilisateur et le site officiel.

La 2FA, utile mais vulnérable

La double authentification ajoute une couche de sécurité supplémentaire à vos comptes : en plus du mot de passe, il faut valider la connexion avec un code reçu par SMS, e-mail ou application dédiée. Ce code rend la tâche des pirates plus difficile, même s’ils possèdent vos identifiants.

Mais les cybercriminels ont développé plusieurs méthodes pour contourner la 2FA. Certains interceptent le code grâce à des robots pilotés par l’IA, tandis que d’autres utilisent des techniques basées sur l’analyse des pixels à l’écran.

Les cookies de session, nouvelle cible des hackers

Un outil nommé Evilginx est de plus en plus utilisé pour réaliser ces attaques. Les chercheurs d’Infoblox décrivent ce logiciel comme un framework open source avancé d’hameçonnage, spécialisé dans les attaques de type adversary-in-the-middle (« attaquant du milieu »). Concrètement, Evilginx se place entre la victime et le site légitime — qu’il s’agisse d’une banque, d’un réseau social ou d’une plateforme financière.

Pour mettre en place l’attaque, les pirates installent Evilginx sur un serveur et configurent un domaine factice. Ce dernier agit comme un proxy, relayant toutes les requêtes vers le site officiel, tout en interceptant les identifiants et, surtout, les cookies de session.

Un cookie de session est un petit fichier temporaire qui permet au serveur de reconnaître un utilisateur authentifié pendant sa visite. Il est supprimé lors de la déconnexion, de la fermeture du navigateur ou de l’expiration de la session côté serveur.

Comment l’attaque se déroule

1. La victime reçoit un lien frauduleux par mail, SMS ou réseau social. Pensant accéder au site officiel, elle ouvre le portail factice. Le site semble légitime, avec un cadenas HTTPS.
2. L’utilisateur saisit son identifiant et son mot de passe, qui sont immédiatement transmis au vrai site. Le compte s’ouvre normalement, mais le portail intermédiaire capture ces informations.
3. Le site légitime demande alors le code de connexion prévu par la 2FA. La victime le saisit, et le portail malveillant le transmet en temps réel au site officiel.
4. C’est à ce moment que les pirates interceptent le cookie de session généré après l’authentification. Ce cookie, copié par Evilginx avant d’être renvoyé au navigateur de la victime, permet aux hackers d’accéder au compte sans mot de passe ni code 2FA.

Grâce à ce cookie, les pirates peuvent lire les mails, modifier les paramètres de sécurité, effectuer des transactions financières ou récupérer des données sensibles, jusqu’à l’expiration ou la révocation du cookie.

Une attaque invisible

Pour l’utilisateur, rien ne laisse deviner l’intrusion. Tout se déroule comme d’habitude sur le site réel. L’attaque n’est détectée que lorsque des transactions frauduleuses apparaissent ou que des informations sont modifiées à son insu. L’intrusion repose uniquement sur la copie invisible du cookie de session.

Se protéger contre Evilginx et les attaques 2FA

Pour réduire les risques :

• Méfiez-vous des liens inattendus, vérifiez toujours l’expéditeur et l’adresse de destination avant de cliquer.
• Privilégiez des méthodes d’authentification multifactorielle résistantes au phishing, comme les clés physiques (ex. Yubikey).
• Révoquez toutes vos sessions ouvertes et reconnectez-vous avec mot de passe et 2FA pour générer de nouveaux cookies, bloquant l’utilisation de cookies compromis.

Ces mesures simples permettent de se protéger efficacement contre une menace sophistiquée mais imperceptible.

En somme, la double authentification reste un outil indispensable pour protéger vos comptes, mais elle n’est plus infaillible face à des attaques de plus en plus sophistiquées comme celles orchestrées avec Evilginx. Vigilance, bonnes pratiques et recours à des méthodes d’authentification résistantes au phishing sont désormais essentiels. Protéger ses données en ligne ne relève plus seulement du mot de passe : c’est un jeu de stratégie où chaque clic compte

About The Author

La rédaction

See author's posts