Le système de la double authentification est censé apporter une sécurité totale à un compte mail. Pourtant, Amnesty International révèle qu’un millier de comptes de militants des droits de l’homme disposant de cette protection ont été hackés, probablement par un organisme à la solde d’un Etat, au Moyen-Orient ou en Afrique du Nord. Leur méthode : une technique de phishing hautement sophistiquée.
Deux routes parallèles. Pendant que les systèmes de sécurisation des comptes et des données s’améliorent, les techniques pour les briser font de même. Une double affaire de piratage, récemment révélée par Amnesty International, illustre cette montée en compétence des hackers face aux nouvelles techniques de sécurité.
« De plus en plus de défenseurs des droits humains sont conscients des menaces »
Les cibles : des journalistes, activistes ou militants des droits de l’homme, opérant au Moyen-Orient ou en Afrique du Nord. Des internautes particulièrement vigilants, comme le note l’organisation : « De plus en plus de défenseurs des droits humains sont conscients des menaces. Beaucoup ont pris des mesures pour améliorer leur résistance aux attaques. Souvent, ils utilisent des fournisseurs mail plus sécurisé, respectant la confidentialité et activent la double-authentification pour leurs comptes en ligne » détaille Amnesty International.
Les pirates : des groupes probablement liés à un gouvernement, vus les cibles visées et le degré de perfection des techniques de hacking utilisées. L’objectif : réussir à briser les messageries les plus sécurisées, comme Proton ou Tutanota, ou dépasser les systèmes à double authentification de Google ou Yahoo.
L’authentification à double facteur, théoriquement inviolable
L’authentification à double facteur est théoriquement impossible à contourner : pour accéder à sa messagerie, l’utilisateur doit fournir son mot de passe, ainsi qu’un code qui lui est envoyé par SMS. A moins de disposer du mot de passe ET du téléphone déverrouillé, accéder illégalement aux comptes semble impossible.
Et pourtant. Les pirates y sont parvenus. Non pas avec des malware dernière génération. Mais simplement avec du phishing. Un hameçonage particulièrement habile, imitant à la perfection des pages légales.
Du phishing de très haut niveau
Les comptes visés ont ainsi reçu un faux mails émanant théoriquement de Yahoo ou de Google, copiant dans les moindres détails les campagnes d’alerte de sécurité envoyées par ces services de messagerie. Il est demandé à la cible de changer en urgence son mot de passe.
En cliquant sur le lien dans le mail, l’utilisateur arrive sur une fausse page de connexion Yahoo ou Google, plus vraie que la vraie. Récupérer le mot de passe est alors un jeu d’enfant pour les hackers. Mais ils vont plus loin.
Créer une page plus vraie que nature, qui récupère le code SMS
Pendant que la cible est sur leur fausse page, ils lancent une tentative de connexion sur la vraie page de Google ou Yahoo. Avec le mot de passe. Les serveurs mail leur proposent une double authentification. Les pirates la valident, et Yahoo ou Google envoient un code par SMS au propriétaire du compte.
Pendant ce temps, la fausse page a elle aussi demandé une double authentification, et a elle aussi indiqué à la cible qu’on lui envoyait un SMS. Ne se doutant de rien, cette dernière rentre le code. Il suffit alors aux pirates de le récupérer pour accéder à la messagerie de la cible.
Pour détailler le principe de l’attaque, nous avons supposé que les pirates agissaient en temps réel : ils ont en fait mis en place un système automatisé, qui trompait l’internaute. C’est ce qu’a découvert Amnesty International en accédant au serveur des attaquants.
Une vigilance de tous les instants
La seconde attaque visait les messageries à haut niveau de sécurité, comme Proton ou Tutanota, en utilisant une page copiant, là encore à la perfection, la page légale de ces messageries. La fausse page disposait même d’une connexion chiffrée en https.
La première attaque a atteint environ un millier de comptes, la seconde plusieurs centaines d’activistes. Avec des conséquences impossibles à mesurer, mais qui peuvent être désastreuses pour certains journalistes ou militants. Plus que jamais, la vigilance doit être totale. Les hackers auront toujours un coup d’avance.