Un chercheur explique comment contourner l'authentification à deux facteurs grâce aux cookies de sessionCrédits : Xebeche/iStock

Pour se connecter à un site, nous utilisons généralement un identifiant et un mot de passe. L'identification à deux facteurs permet d'ajouter une couche de sécurité, par exemple en envoyant un code sur son smartphone.

Dans une vidéo, le chercheur en sécurité Kevin Mitnick contourne ce système grâce aux cookies de session, comme l'explique TechCrunch. Pour commencer, il faut envoyer sa victime sur un faux site spécialement conçu, via une campagne de phishing par exemple.

Le pirate peut alors récupérer l'identifiant, le mot de passe et surtout le cookie de session de l'utilisateur. Il s'en sert ensuite pour se connecter au site, sans avoir besoin de repasser par la double authentification. Précision importante : il ne s'agit pas d'une faille de la double authentification en elle-même.

Cette histoire rappelle une fois encore que le maillon faible est bien trop souvent l'utilisateur. En effet, dans le cas présent il faut être berné par un faux site et y entrer ses identifiants. On rappellera donc une fois encore l'importance de ne pas cliquer sur n'importe quel lien, que ce soit sur un site ou dans un email.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !