Pour gérer vos consentements :

La double authentification affaiblie par la synchronisation

Des chercheurs de l’Université libre d’Amsterdam (Vrije Universiteit Amsterdam, VU) on démontré que la synchronisation multiplateforme peut miner la double authentification d’utilisateurs de téléphones mobiles sous Android et iOS. Et ce en partant du postulat que l’ordinateur utilisé pour la synchronisation est exposé à une attaque MitB (man-in-the-browser, ou homme dans le navigateur).

Contourner la chaîne d’authentification

Pour la première attaque, indiquent les chercheurs dans leur analyse, la fonction d’installation à distance d’applications de Google Play a été utilisée depuis un PC. Une application malveillante spécifique a été installée sur le smartphone Android ciblé, puis l’application a été activée. Celle-ci peut alors intercepter le mot de passe à usage unique et l’envoyer sous forme de SMS à un serveur contrôlé par l’attaquant. Il peut alors contourner la chaîne d’authentification à deux facteurs proposée par le site ou le service en ligne concerné, bancaire inclus.

De même pour l’attaque contre iOS, une application douteuse a été publiée et installée à partir d’un ordinateur compromis depuis l’App Store d’Apple, via la fonction d’installation à distance d’iTunes. Ensuite, l’application a été installée sur un iPhone. Une telle application peut être utilisée pour lire des SMS. Cette attaque exploite une fonction de continuité d’OS X qui permet de synchroniser des SMS entre un Mac et un iPhone. Là encore la double authentification est mise à mal.

Ces vulnérabilités nommées « 2FA synchronization vulnerabilities » par les scientifiques, ont été communiquées à Google et Apple entre l’été et l’automne 2015. Pour les chercheurs, « les fournisseurs devraient être extrêmement prudents avant d’opter pour l’activation par défaut ou en option de nouvelles fonctionnalités de synchronisation, et informer leurs utiliseurs des risques liés à cette utilisation ».

Lire aussi :

Protection des données : l’ambivalence perdure après Snowden

crédit photo © wk1003mike-Shutterstock

Recent Posts

IT souveraine : 6 pépites made in France

Digital workplace, formation logicielle, ITSM, IoT… Coup d’œil sur six entreprises françaises qui ont accroché…

5 heures ago

Gestion du risque IT : le top 10 des fournisseurs

Qui sont les têtes d'affiche de l'ITRM (gestion du risque IT) et comment leurs offres…

6 heures ago

Orange : qui est Christel Heydemann, la nouvelle directrice générale ?

Christel Heydemann devrait être nommée directrice générale du groupe Orange ce 28 janvier. Retour sur…

9 heures ago

ESN : Inetum reprise par Bain Capital

Le fonds qatari Mannai qui possède 99% du capital d'Inetum est entré en négociation exclusive…

11 heures ago

CircleCI étend son offre gratuite face à GitHub Actions

CircleCI a procédé à un élargissement de son offre gratuite. Comment se positionne-t-elle désormais par…

11 heures ago

Log4j : SolarWinds rattrapé par la faille

On a découvert, dans l'un des logiciels de SolarWinds, une faille susceptible de favoriser des…

13 heures ago