: Vidéo Cybersécurité : pourquoi la fameuse "double authentification" sur Internet n'est plus si sûre que ça ?

Adresse mail personnelle, puis mot de passe, et même authentification à double facteur : pas de doute, votre compte sur Google, Facebook, Amazon ou encore PayPal est sécurisé. Plus tout à fait, en réalité. Depuis quelques semaines, sur les sites dédiés, un nouveau logiciel, Astaroth, est en vente pour les pirates informatiques : il leur permet de récupérer vos comptes sur Internet, même s'ils sont protégés par un code de double authentification. 

"C'est un logiciel qui a pour but de pouvoir faire ce que l'on appelle un site de phishing, donc une page Internet qui est semblable, vraiment à l'identique d'un site que l'on connaît comme Amazon, Google, Facebook", décrypte Centho, hacker éthique, qui se présente comme un "chasseur d'escrocs". 

"La puissance d'Astaroth, c'est sa facilité d'accès"

Or, la technologie n’est pas nouvelle. Ce mode opératoire est connu, confirme Laurent Della Valle, chef du service de l'expertise technologique à la Cnil. "Il existait déjà sans authentification multifacteur et c'était très répandu, notamment, pour piquer vos informations de paiement. C'est-à-dire que vous superposez une page où vous êtes censé effectuer un paiement, mais vous ne payez pas le site que vous pensez payer, vous payez le pirate", rappelle l'expert.

Ce qui pose problème, c'est qu'elle est désormais en vente et accessible à (presque) tous. Moyennant environ 2000 euros, ce logiciel - et le mode d'emploi qui va avec - est disponible, afin de générer de fausses pages de connexion. "Si on rentre ce code d'authentification, il est récupéré par le site malveillant, puis fourni aux escrocs. Ils vont alors récupérer ce que l'on appelle un cookie d'authentification. C'est très pratique pour pister les gens, mais c'est aussi très pratique pour garder en mémoire que l'on est connecté à un site en particulier. En récupérant ce cookie d'authentification, on n'a plus besoin du mot de passe.... On le met dans un navigateur Internet et on est connecté et c'est invisible pour tout le monde. La puissance d'Astaroth réside en son automatisation, sa facilité d'accès", précise Centho à franceinfo.

Vérifier l'adresse du site

Alors, comment être sûr que l'on ne donne pas certaines informations confidentielles sans s'en rendre compte ? "Vous pouvez, quand vous avez un lien, vérifier que ce qui est écrit renvoie bien au nom de domaine de l'opérateur chez qui vous êtes censé vous connecter", avance Laurent Della Valle. "Est-ce qu'on est bien sur Google.com et pas connexion-google.com ?, souligne Centho. Et l'expert de la Cnil de rappeler que "si vous avez besoin de vous connecter par exemple sur le site de l'assurance maladie, vous cherchez sur Google, 'assurance maladie' et vous allez directement sur le site".

Le phishing reste la menace numéro un sur Internet, selon la plateforme du gouvernement Cybermalveillance. En 2023, 50 000 professionnels et particuliers sont venus lui demander de l'aide face à ces escroqueries qui prennent des formes toujours plus variées.