La double authentification de Google mise à mal par des hackers

Google a mis en place son système de double authentification dans le but de mieux protéger les données personnelles de ses utilisateurs. Cette méthode dite par deux facteurs oblige non seulement à saisir son mot de passe mais également à confirmer son identité en recopiant un code reçu par SMS ou généré par une application spécialisée. C’est très récemment qu’un groupe de hackers a tenté de contourner cette sécurité. Pour ce faire, ils envoient eux-mêmes un SMS à la victime en se faisant passer pour la firme californienne.

Le message explique à la victime qu'une activité suspecte a été repérée sur son compte et que pour le fermer temporairement, l'utilisateur doit retourner le code de sécurité. Cette méthode fonctionne pour les hackers ayant non seulement l'adresse email, mais également le mot de passe du compte en question. En saisissant ces informations, ils génèreront donc l'envoi du code de vérification vers le détenteur du compte, en l'occurrence, la victime. Pour résumer : si les pirates prennent le contrôle du navigateur de la personne ciblée et exploitent les failles de service Google (envoi d’un mail sur Gmail contenant une pièce jointe frauduleuse…), ils s’ouvrent une voie vers l’appareil mobile de ce même utilisateur.

>>> Lire : quel est le meilleur antivirus ?

Ainsi, ils ont les mains libres pour installer n’importe quelle application sur le mobile de la personne ciblée. Parmi ces applications malveillantes certaines sont aptes à contourner facilement la validation à deux étapes. À partir de ce moment-là, les pirates ont les mains libres pour voler les données personnelles. En accédant aussi à votre téléphone, ces derniers peuvent utiliser les applications d’ordinaire protégées par cette validation en deux étapes (applications permettant le virement d’argent en ligne par exemple).

Des règles simples pour éviter les problèmes

En attendant la réponse de Google à ces limites liées à la validation en deux étapes, quelques règles de sécurité simples peuvent s’appliquer. Mettre à jour fréquemment les applications, ne jamais cliquer sur les liens qui peuvent paraitre frauduleux dans les mails reçus et ne pas se connecter au compte Google sur un ordinateur “qui n’est pas de confiance”. L’approche la plus sécurisée, mais la plus contraignante aussi, consiste à employer deux comptes différents. Un sur votre appareil mobile, l’autre sur votre PC. Le pirate ne pourrait ainsi pas exploiter les faiblesses de l’un pour accéder aux données contenues sur l’autre.

Rappelons que de nombreuses bases de données ont été mises en vente sur le darknet incluant les données de 164 millions de comptes LinkedIn, 45 millions de comptes Tumblr, 360 millions chez MySpace et encore 40 millions chez Flint.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire