L’authentification à deux facteurs (2FA) n’est plus une sécurité infaillible. Illustration photo
Nouvelle forme d'attaque
L'authentification à deux facteurs (2FA) est devenue une mesure de sécurité standard en cybersécurité. Elle exige des utilisateurs qu'ils vérifient leur identité par une seconde étape d'authentification, généralement un mot de passe à usage unique (OTP) envoyé par SMS, courriel ou application d'authentification. Cette couche de sécurité supplémentaire vise à protéger le compte d'un utilisateur même si son mot de passe est volé.
Bien que l'authentification à deux facteurs (2FA) soit largement adoptée par de nombreux sites web et exigée par les organisations, des experts en cybersécurité de Kaspersky ont récemment découvert des attaques de phishing utilisées par des cybercriminels pour contourner la 2FA.
Par conséquent, les cybercriminels ont adopté une forme d'attaque plus sophistiquée, combinant le phishing à des robots automatisés de génération de mots de passe à usage unique (OTP) pour tromper les utilisateurs et accéder illégalement à leurs comptes. Concrètement, les escrocs incitent les utilisateurs à révéler ces OTP afin de contourner l'authentification à deux facteurs.
Les cybercriminels combinent l'hameçonnage et les robots d'envoi automatisé de mots de passe à usage unique (OTP) pour tromper les utilisateurs et accéder illégalement à leurs comptes. Illustration photo
Même les bots OTP, un outil sophistiqué, sont utilisés par les escrocs pour intercepter les codes OTP grâce à des attaques d'ingénierie sociale. Les pirates tentent souvent de voler les identifiants de connexion de leurs victimes par des méthodes telles que le phishing ou l'exploitation de failles de sécurité. Ils se connectent ensuite au compte de la victime, déclenchant ainsi l'envoi de codes OTP sur son téléphone.
Ensuite, le bot OTP appellera automatiquement la victime en se faisant passer pour un employé d'une organisation de confiance, utilisant un script de conversation préprogrammé pour la convaincre de révéler le code OTP. Enfin, l'attaquant recevra le code OTP via le bot et l'utilisera pour accéder illégalement au compte de la victime.
Les fraudeurs privilégient souvent les appels vocaux aux SMS, car les victimes ont tendance à réagir plus rapidement à cette méthode. C'est pourquoi les robots d'authentification à un mot de passe (OTP) imitent le ton et l'urgence d'un appel humain afin d'instaurer un climat de confiance et de persuader leurs victimes.
Les fraudeurs contrôlent les bots OTP via des tableaux de bord en ligne dédiés ou des plateformes de messagerie comme Telegram. Ces bots proposent diverses fonctionnalités et formules d'abonnement, facilitant ainsi le travail des attaquants. Ces derniers peuvent personnaliser les bots pour usurper l'identité d'organisations, utiliser plusieurs langues et même choisir une voix masculine ou féminine. Parmi les options avancées figure l'usurpation de numéro de téléphone, qui permet de faire apparaître le numéro de l'appelant comme appartenant à une organisation légitime afin de tromper la victime de manière sophistiquée.
Plus la technologie évolue, plus les exigences en matière de protection des comptes augmentent. Illustration photo
Pour utiliser un bot OTP, l'escroc doit d'abord voler les identifiants de connexion de sa victime. Il utilise souvent des sites web d'hameçonnage conçus pour ressembler trait pour trait aux pages de connexion légitimes des banques, des services de messagerie ou d'autres comptes en ligne. Lorsque la victime saisit son nom d'utilisateur et son mot de passe, l'escroc récupère automatiquement et instantanément ces informations (en temps réel).
Entre le 1er mars et le 31 mai 2024, les solutions de sécurité Kaspersky ont bloqué 653 088 visites sur des sites web créés par des kits d'hameçonnage ciblant les banques. Les données volées sur ces sites sont souvent utilisées dans des attaques par bots visant à obtenir des mots de passe à usage unique (OTP). Durant la même période, les experts ont détecté 4 721 sites web d'hameçonnage créés par ces kits pour contourner l'authentification à deux facteurs en temps réel.
N'utilisez pas de mots de passe courants.
Olga Svistunova, experte en sécurité chez Kaspersky, a déclaré : « Les attaques d’ingénierie sociale sont considérées comme des méthodes de fraude extrêmement sophistiquées, notamment avec l’apparition de bots OTP capables de simuler légitimement des appels de conseillers. Pour rester vigilant, il est important de maintenir sa vigilance et de respecter les mesures de sécurité. »
Il suffit aux pirates d'utiliser des algorithmes de prédiction intelligents pour trouver facilement les mots de passe. Illustration photo
L'analyse de 193 millions de mots de passe réalisée début juin par les experts de Kaspersky à l'aide d'algorithmes de devinette sophistiqués (des mots de passe compromis et vendus sur le darknet par des cybercriminels) révèle que 45 % d'entre eux (soit 87 millions de mots de passe) peuvent être déchiffrés en moins d'une minute. Seuls 23 % (soit 44 millions) des mots de passe sont considérés comme suffisamment robustes pour résister aux attaques, et leur déchiffrement prendrait plus d'un an. La plupart des mots de passe restants peuvent toutefois être déchiffrés en une heure à un mois.
De plus, les experts en cybersécurité ont également révélé les combinaisons de caractères les plus couramment utilisées lors de la création de mots de passe par les utilisateurs, telles que : Nom : « ahmed », « nguyen », « kumar », « kevin », « daniel » ; mots populaires : « forever », « love », « google », « hacker », « gamer » ; mots de passe standard : « password », « qwerty12345 », « admin », « 12345 », « team ».
L'analyse a révélé que seulement 19 % des mots de passe contenaient une combinaison robuste, incluant un mot non répertorié dans le dictionnaire, des lettres majuscules et minuscules, ainsi que des chiffres et des symboles. Parallèlement, l'étude a également montré que 39 % de ces mots de passe robustes pouvaient être devinés par des algorithmes sophistiqués en moins d'une heure.
Il est intéressant de noter que les pirates n'ont pas besoin de connaissances spécialisées ni d'équipement sophistiqué pour déchiffrer les mots de passe. Par exemple, un processeur dédié d'ordinateur portable peut trouver par force brute une combinaison de huit lettres minuscules ou chiffres en seulement 7 minutes. Une carte graphique intégrée peut faire de même en 17 secondes. De plus, les algorithmes de devinage de mots de passe sophistiqués ont tendance à substituer des caractères (« e » par « 3 », « 1 » par « ! » ou « a » par « @ ») et des chaînes de caractères courantes (« qwerty », « 12345 », « asdfg »).
Utilisez des mots de passe composés de chaînes de caractères aléatoires pour compliquer la tâche des pirates informatiques. Illustration photo
« Inconsciemment, les gens ont tendance à choisir des mots de passe très simples, utilisant souvent des mots du dictionnaire de leur langue maternelle, tels que des noms et des chiffres… Même les combinaisons de mots de passe robustes s’écartent rarement de cette tendance, elles sont donc parfaitement prévisibles par les algorithmes », a déclaré Yuliya Novikova, responsable de l’analyse de l’empreinte numérique chez Kaspersky.
Par conséquent, la solution la plus fiable consiste à générer un mot de passe totalement aléatoire à l'aide d'un gestionnaire de mots de passe moderne et fiable. Ces applications peuvent stocker de grandes quantités de données en toute sécurité, assurant ainsi une protection complète et robuste des informations des utilisateurs.
Pour renforcer la sécurité de leurs mots de passe, les utilisateurs peuvent appliquer les conseils suivants : utiliser un logiciel de sécurité réseau pour gérer leurs mots de passe ; utiliser des mots de passe différents pour chaque service. Ainsi, même si l’un de vos comptes est piraté, les autres restent protégés ; les phrases de passe permettent de récupérer ses comptes en cas d’oubli de son mot de passe ; il est plus sûr d’utiliser des mots peu courants. De plus, il est possible d’utiliser un service en ligne pour tester la robustesse de ses mots de passe.
Évitez d'utiliser des informations personnelles, comme les dates de naissance, les noms de membres de votre famille, les noms de vos animaux de compagnie ou vos surnoms, comme mot de passe. Ce sont souvent les premières choses que les pirates informatiques essaient de récupérer pour trouver un mot de passe.
Source
![[Photo] Aider d'urgence les personnes à trouver rapidement un logement et à stabiliser leur vie.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F09%2F1765248230297_c-jpg.webp&w=3840&q=75)
![[Photo] Le secrétaire général To Lam travaille avec les sous-comités des comités permanents du 14e congrès du parti](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/09/1765265023554_image.jpeg)
Comment (0)