du 11 mai 2018
Date

Choisir une autre édition

Un chercheur explique comment contourner l'authentification à deux facteurs grâce aux cookies de session

Pour se connecter à un site, nous utilisons généralement un identifiant et un mot de passe. L'identification à deux facteurs permet d'ajouter une couche de sécurité, par exemple en envoyant un code sur son smartphone.

Dans une vidéo, le chercheur en sécurité Kevin Mitnick contourne ce système grâce aux cookies de session, comme l'explique TechCrunch. Pour commencer, il faut envoyer sa victime sur un faux site spécialement conçu, via une campagne de phishing par exemple.

Le pirate peut alors récupérer l'identifiant, le mot de passe et surtout le cookie de session de l'utilisateur. Il s'en sert ensuite pour se connecter au site, sans avoir besoin de repasser par la double authentification. Précision importante : il ne s'agit pas d'une faille de la double authentification en elle-même.

Cette histoire rappelle une fois encore que le maillon faible est bien trop souvent l'utilisateur. En effet, dans le cas présent il faut être berné par un faux site et y entrer ses identifiants. On rappellera donc une fois encore l'importance de ne pas cliquer sur n'importe quel lien, que ce soit sur un site ou dans un email.

chargement Chargement des commentaires...