Cybersécurité : des pirates s’affranchissent de l’authentification multifactorielle

Tout juste instaurée par la directive DSP2 et encore loin d’être appliquée par la majorité des e-commerçants européens, l’authentification multifactorielle présente des failles de sécurité inquiétantes. Bien que les cas d’intrusion soient rares, le FBI les a répertoriés afin d’identifier les méthodes employées et alerter les professionnels de la sécurité.

Initialement prévue le 14 septembre 2019, l’entrée en vigueur de la nouvelle directive sur les services de paiement (DSP2) a fait l’objet d’un plan de transition progressif accordant aux e-commerçants un délai pour se mettre à niveau. Le 17 septembre le FBI a averti plusieurs partenaires privés sur des cas d’attaques envers des sociétés parvenues à contourner les solutions d’authentification multifactorielles. « Le FBI a observé des acteurs contournant l’authentification multifactorielle par des attaques d’ingénierie sociale et techniques communes», peut-on lire sur la notification envoyée.

Bien qu’il existe une multitude de techniques pour s’affranchir de cette mesure de sécurité des paiements, obligatoire pour les ecommerçants, le bureau fédéral d’investigation souligne la menace du SIM swapping — technique consistant à s’approprier le numéro de téléphone de la victime en l’attribuant à une nouvelle carte SIM — qui avait notamment permis à un groupe de hackers de prendre possession du compte Twitter de Jack Dorsey, le patron du réseau social. Le FBI alerte également l’opinion sur la vulnérabilité des pages de gestion de l’authentification ou encore l’utilisation de proxys comme Muraen et NecroBowser. ZDnet a répertorié la liste d’incidents fournie par le FBI ayant permis à des pirates de contourner l’authentification à plusieurs facteurs pour voler de l’argent aux entreprises ciblées.

Mieux vaut prévenir que guérir. Pour l’heure, l’alerte du FBI constitue une mesure préventive qui ne remet pas en cause la procédure de sécurité. «L’authentification multifactorielle reste une mesure de sécurité forte et efficace pour protéger les comptes en ligne, tant que les utilisateurs prennent des précautions pour éviter d’être victimes de ces attaques», a déclaré le FBI.

Hugo Pellegrin-T.O.M

Les nouvelles technologies dans l'industrie hôtelière
nouvelles technologies
Les nouvelles technologies dans l'industrie hôtelière
Le jeu vidéo : un pont vers la Gen Z et le Tourisme
Le jeu vidéo : un pont vers la Gen Z et le Tourisme
Les trois priorités du groupe Logis Hôtels pour 2025
Les trois priorités du groupe Logis Hôtels pour 2025
Inauguration du Kyriad Prestige City Center, le nouveau joyau du centre ville de Tunis  
Inauguration du Kyriad Prestige City Center, le nouveau joyau du centre ville de Tunis  
Plus de 2 400 établissements décrochent la labellisation Clef Verte en 2025 en France!
Plus de 2 400 établissements décrochent la labellisation Clef Verte en 2025 en France!
En 2024, le tourisme international retrouve son niveau pré-Covid
En 2024, le tourisme international retrouve son niveau pré-Covid
Les nouvelles technologies dans l'industrie hôtelière
nouvelles technologies
Les nouvelles technologies dans l'industrie hôtelière
Le jeu vidéo : un pont vers la Gen Z et le Tourisme
Le jeu vidéo : un pont vers la Gen Z et le Tourisme
Les trois priorités du groupe Logis Hôtels pour 2025
Les trois priorités du groupe Logis Hôtels pour 2025
Inauguration du Kyriad Prestige City Center, le nouveau joyau du centre ville de Tunis  
Inauguration du Kyriad Prestige City Center, le nouveau joyau du centre ville de Tunis  
Plus de 2 400 établissements décrochent la labellisation Clef Verte en 2025 en France!
Plus de 2 400 établissements décrochent la labellisation Clef Verte en 2025 en France!
En 2024, le tourisme international retrouve son niveau pré-Covid
En 2024, le tourisme international retrouve son niveau pré-Covid