La 2FA est à l’heure actuelle l’un des protocoles de sécurité les plus efficaces. Vous l’utilisez probablement régulièrement pour vous identifier à vos différents services Google lorsque vous vous connectez depuis un autre appareil par exemple. Ou bien lorsque vous vous connectez sur Facebook, ou votre application bancaire, etc.
La 2FA ajoute une étape supplémentaire au classique combo identifiant et mot de passe. Généralement, il s’agit d’un code envoyé par SMS par mail sur votre adresse. Grâce à la double authentification, un pirate qui aurait réussi à s’emparer de votre mot de passe et de votre identifiant devra donc également se procurer ce code. Ce qui bien plus compliqué.
Rampant Kitten brise la 2FA
Or, on apprend ce vendredi 25 septembre 2020 qu’un groupe de pirates informatiques iraniens a développé un nouveau malware Android capable de contourner la 2FA et de voler les codes SMS de vérification. Ce groupe, baptisé « Rampant Kitten« , est en activité depuis plus de six ans. Il serait directement lié au gouvernement iranien et mènerait des opérations de surveillance sur les « ennemis potentiels » du pays comme l’Organisation de la résistance nationale d’Azerbaïdjan ou le peuple du Baloutchistan.
Les chercheurs en sécurité informatique de CheckPoint Research dévoilent dans un rapport publié la semaine dernière avoir découvert une porte dérobée sur Android. Une porte dérobée développée par ce fameux groupe de hackers. Grâce à elle, il est possible d’accéder aux contacts et aux SMS de la victime. En outre, les pirates peuvent également espionner la cible via le micro du smartphone. Et cerise sur le gâteau donc, cette porte dérobée offre des routines pour s’emparer des codes 2FA.
Les services Google visés en priorité, mais pas que…
En effet, comme le précisent les experts de CheckPoint, ce malware se focalise sur tous les SMS 2FA contenant la chaîne « G-« , un préfixe utilisé sur tous les messages de vérification envoyés par Google. Ici, l’idée est de cibler principalement les utilisateurs de Gmail, Google Drive, etc.
Les pirates envoient une page factice d’un service de Google (du phishing, donc) et attendent que l’utilisateur saisisse ses identifiants pour accéder au service. Dans le cas où la 2FA est activée, la victime devrait recevoir un code par SMS. Or, grâce au cheval de Troie introduit par ce malware Android, les pirates n’ont plus qu’à accéder aux messages de la cible, à récupérer les codes pour ensuite contourner le système de double authentification.
Selon les chercheurs de CheckPoint Research, ce malware ne s’applique pas uniquement aux services de Google. Les pirates s’en servent également pour contourner la 2FA instaurée par Telegram et d’autres réseaux sociaux comme Twitter ou Facebook. Pour rappel, « Rampant Kitten » n’est pas le seul groupe de pirates à avoir réussi à briser la 2FA. Le collectif chinois ATP 20 a lui aussi réussi à contourner la double authentification en 2019.
Source : ZDnet
