Un groupe de hackers chinois, probablement lié au gouvernement, semble avoir réussi à contourner l'authentification à deux facteurs. L'Italie a également été touchée
L'Italie fait partie des dix pays attaqués par les hackers chinois du collectif Apt20, qui serait lié au gouvernement de la République populaire de Chine. Apt20 a réussi à contourner le mécanisme d'authentification à deux facteurs (2FA) de nombreux comptes d'utilisateurs dans des secteurs stratégiques. Des secteurs tels que la finance, les assurances, la santé publique, la production d'énergie et les fournitures militaires.
Les pays impliqués dans l'attaque, découverte par Fox-It et nommée Opération Wocao, sont : États-Unis, Mexique, Brésil, Royaume-Uni, France, Allemagne, Portugal, Espagne, Italie et Chine elle-même. Malheureusement, l'attaque a été un succès pour les pirates : ils ont réussi à s'introduire dans les réseaux privés virtuels (VPN) protégeant les entreprises et organisations attaquées et à prendre le contrôle total des données. Cet épisode met en lumière les limites des systèmes de protection des comptes à deux facteurs, qui restent pourtant actuellement parmi les systèmes les plus fiables pour bloquer l'accès à un compte par un pirate.
L'authentification à deux facteurs contournée
L'aspect intéressant de cette attaque est que l'authentification à deux facteurs, considérée par beaucoup comme suffisante pour protéger les comptes car elle alerte l'utilisateur en cas de tentative suspecte d'accès à son compte, a été complètement contournée par les pirates. Fox-It suppose que le collectif Apt20 a réussi à mettre la main sur les jetons de RSA SecurID, l'un des logiciels de gestion de 2FA les plus utilisés dans le monde. Le 2FA aurait alors été désactivé à la source et, par conséquent, aucune alerte n'a été envoyée aux utilisateurs. Fox-It explique comment cela a été possible : " En bref, tout ce que l'acteur doit faire pour utiliser les codes d'authentification à 2 facteurs est de voler un jeton logiciel RSA SecurID et de patcher une instruction, ce qui entraîne la génération de jetons valides ".
Est-ce que le 2FA est sûr ?
Cette histoire montre qu'en matière de sécurité informatique, aucun système n'est impénétrable. C'est toujours un combat entre les gardes et les voleurs, et parfois les voleurs gagnent. C'est toujours un combat entre les gardes et les voleurs, et parfois les voleurs gagnent. Le 2FA est donc sûr, mais pas infaillible, et reste donc une méthode conseillée pour protéger les comptes. Microsoft et Google proposent tous deux des systèmes d'authentification à deux facteurs qui, pour autant que l'on sache, n'ont pas encore été piratés.