Si un utilisateur oubli son mot de passe de compte Gmail et s’il a activé l’authentification à deux facteurs (2FA), Google lui envoie un SMS ou l’appelle avec un code de six à huit chiffres. Grâce à ce code unique (ce que Google appelle la vérification en deux étapes), il peut à nouveau accéder à son compte. « Cela fait longtemps que les spécialistes de la sécurité recommandent l'authentification à deux facteurs, et c'est une bonne chose. Mais ce n’est pas infaillible », a expliqué David Jacoby, chercheur en sécurité senior au Kaspersky Lab. Lors du Kaspersky Security Analyst Summit organisé du 8 au 11 avril à Singapour, celui-ci a montré comment des criminels parvenaient à détourner facilement la fonction de sécurité pour accéder au compte Gmail d’un utilisateur. Pour y parvenir, ils ont seulement eu besoin de quelques informations facilement disponibles, d'un numéro cible et d'un téléphone pour appeler le service clientèle d'un opérateur de téléphonie. « Plus, d’une bonne dose de culot », a ajouté le chercheur.
Une détournement simplissime
Cette méthode de piratage a été très facilement exploitée en Suède, pays où est basé David Jacoby, dans lequel un service gouvernemental permet à quiconque de retrouver l'opérateur associé à un numéro de mobile. « C'est un peu dingue et je n'en vois pas l’utilité », a déclaré le chercheur. Dans d’autres pays, on trouve aussi ce genre de services, mais souvent sous forme d'abonnement payant. Une fois la cible sélectionnée, le numéro et celui de l’opérateur identifiés, le pirate appelle son opérateur téléphonique et demande que les appels soient redirigés temporairement vers un autre numéro (qui lui appartient). Lors de sa démonstration, le chercheur a pu facilement rediriger les appels d’une autre personne.
Pour obtenir la redirection, il a simplement expliqué au support technique qu’il attendait un appel téléphonique important, mais qu’il n’avait pas son mobile avec lui. « Effectivement, ils ont activé la redirection d’appels vers le numéro que je leur ai indiqué. Nous avons renouvelé le test avec plusieurs opérateurs de téléphonie différents et tous se sont montrés vulnérables à ce genre d'attaque d'ingénierie sociale », a déclaré David Jacoby. Donc, l'attaquant demande simplement à Google d’envoyer un code de vérification par téléphone, ce code lui est transmis via le mobile sur lequel est redirigé l’appel, et il accède au compte très facilement. Facebook, Twitter et Apple offrent une fonction de sécurité similaire. « Ce n'est pas difficile, c'est même super simple », a déclaré le chercheur.
Manque de vigilance
Selon le chercheur en sécurité, les opérateurs ne sont pas assez vigilants. « C'est une vulnérabilité dans leurs routines, ils ne vérifient pas qui vous êtes », a-t-il expliqué. Tous les opérateurs suédois testés ont été informés par le chercheur, et tous ont répondu qu’ils allaient réviser leurs procédures. « Ils doivent au minimum ajouter une sorte de sécurité technique. Par exemple, envoyer un SMS à l’abonné pour l’informer que son numéro est redirigé. Même si celui-ci n'a pas accès à son téléphone, il pourra voir le message en rentrant chez lui, ou en se connectant à l’app de l’opérateur », a-t-il ajouté. « Il y a tellement de failles dans les procédures que la double authentification n'a plus aucun sens ». Le plus cocasse, c’est que la victime doit activer l'authentification à deux facteurs pour que le piratage fonctionne. « Cela signifie qu’en ajoutant une sécurité supplémentaire, il devient encore plus vulnérable ! »
mode passe oublié
Signaler un abusmot de passe oublie
Signaler un abusSuis bloqué car je viens de restaurer mon téléphone et ça me demande le premier compte Google sur ce téléphone
Signaler un abusVotre commentaire 286
Signaler un abusNi le sms ni rien ne fontionne car ils installe un keylogger dans les applications
Signaler un abusRéponse à Visiteur13484 ..."oubliez mon mot de passe" C'est fait, je l'ai oublié ! Vous pouvez dormir tranquille...
Signaler un abusRéponse à Visiteur13155 de retour de la galaxie d'Andromède "..Malheureusement c'est une technologie qui n'est absolument pas connue en France (et dans le Monde)."..
Signaler un abusoubliez mon mot passe
Signaler un abusDepuis la sortie de clés de sécurité Google Titan pour l'authentification à deux facteurs il est maintenant presque impossible de rentrer sur un compte sans ces clés.
Signaler un abusMalheureusement c'est une technologie qui n'est absolument pas connue en France (et dans le Monde).
Pas très précis cet article, surtout le titre qui laisse croire que la vulnérabilité porte sur Gmail, alors que le pb est avant tout lié à certains opérateurs téléphoniques (lesquels ? l’article ne le dit pas !) qui n’authentifient pas correctement leurs clients pour une opération aussi sensible que de dérouter des appels tél. (cf paiements 3DSecure !).
Signaler un abusLa procédure de récupération de mot de passe (oublié) d’un compte Google (Gmail) est plus complexe qu’un SMS. En particulier avec les mots de passe de récupération one-shot, voire l’utilisation potentielle d’un Google Authenticator.
Voir https://www.lifewire.com/how-to-recover-a-forgotten-gmail-password-1172087
(c’est probablement maintenant encore plus sécurisable avec l’introduction récente de Google Prompt et de FIDO2 (https://www.pcmag.com/news/367713/google-offers-built-in-security-key-feature-for-android-phon))
D'où l'intérêt non pas d'un code par SMS, mais d'un code généré par une application.
Signaler un abus