Alors que les systèmes de sécurité se renforcent lentement sur le web, les cybercriminels font évoluer aussi rapidement les techniques qu'ils développent pour les contourner.
L'un des mécanismes de protection "avancée" qui se développe actuellement est l'authentification à deux facteurs par SMS : lors de l'authentification, un mot de passe à usage unique, transmis par SMS, est demandé en complément des identifiants et codes secrets habituels. Vous avez peut-être déjà rencontré ce système sur le site web de votre banque ou sur quelques sites de commerce en ligne, avec des initiatives telles que 3DSecure de Visa.
Or un laboratoire de sécurité espagnol, S21sec, vient de découvrir la première attaque ciblant ces systèmes dans leur coeur. Le scénario est relativement complexe : un cheval de Troie classique (ZeuS en l'occurence) prend le contrôle du PC de la victime (interceptant alors facilement les identifiants et mots de passe "traditionnels") et l'incite à fournir des informations sur son mobile (en "maquillant" un site de confiance), un SMS est ensuite envoyé sur le mobile, demandant l'installation d'un certificat de sécurité, qui est en réalité une application malveillante dont le rôle sera d'intercepter les SMS contenant les codes à usage unique et les retransmettre à l'attaquant, donnant ainsi à celui-ci un contrôle total sur les accès sécurisés aux sites de banque en ligne ou de e-commerce.
Le risque induit par cette attaque reste encore assez faible car elle requiert une certaine crédulité de la part de la victime (qui reste malheureusement tout à fait plausible). Mais cette première démontre la détermination des cybercriminels à ne pas se laisser distancer par les progrès des techniques de sécurisation. Elle doit donc constituer une alerte pour les responsables de la sécurité et les inciter à accélérer le déploiement de systèmes toujours plus élaborés pour protéger leurs sites web. Et il ne faudra pas oublier de redoubler les efforts pour sensibiliser et éduquer les consommateurs sur les risques qu'ils encourent...
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)