Des centaines de sites Web populaires offrent maintenant une certaine forme de authentification multi-facteurs (MFA), qui peut aider les utilisateurs à protéger l’accès aux comptes lorsque leur mot de passe est piraté ou volé. Mais les personnes qui ne profitent pas de ces protections supplémentaires peuvent avoir beaucoup plus de mal à retrouver l’accès lorsque leur compte est piraté, car de plus en plus de voleurs activeront des options multi-facteurs et lieront le compte à un appareil qu’ils contrôlent. Voici l’histoire d’un tel incident.
En tant que responsable de la protection de la vie privée de carrière pour différentes organisations, Denis Dayman a tenté d’inculquer à ses jumeaux l’importance de sécuriser leur identité en ligne contre les usurpations de compte. Les deux sont des joueurs passionnés sur Xbox de Microsoft plate-forme, et pendant des années, leur père a géré leurs comptes via son propre compte Microsoft. Mais lorsque les garçons ont eu 18 ans, ils ont converti leurs comptes enfants en comptes adultes, se soustrayant ainsi au contrôle de leur père.
Un matin récent, l’un des fils de Dayman a découvert qu’il ne pouvait plus accéder à son compte Xbox. Le jeune Dayman a admis à son père qu’il avait réutilisé son mot de passe de profil Xbox ailleurs et qu’il n’avait pas activé l’authentification multifacteur pour le compte.
Lorsque les deux se sont assis pour réinitialiser son mot de passe, l’écran a affiché un avis indiquant qu’il y avait une nouvelle adresse Gmail liée à son compte Xbox. Lorsqu’ils ont activé l’authentification multifacteur pour le profil Xbox de son fils – qui était lié à une adresse e-mail non Microsoft – le service Xbox a déclaré qu’il enverrait une notification du changement de compte Gmail non autorisé dans son profil.
Méfiant d’avertir les pirates qu’ils étaient avisés de leur intrusion, Dennis a essayé de contacter le support Microsoft Xbox, mais a découvert qu’il ne pouvait pas ouvrir de ticket de support à partir d’un compte non Microsoft. En utilisant le compte Outlook de son autre fils, il a déposé un ticket concernant l’incident auprès de Microsoft.
Dennis a rapidement appris que l’adresse Gmail non autorisée ajoutée au compte Xbox piraté de son fils avait également activé la MFA. Cela signifie que son fils ne pourrait pas réinitialiser le mot de passe du compte sans l’approbation de la personne qui contrôle le compte Gmail.
Heureusement pour le fils de Dayman, il n’avait pas réutilisé le même mot de passe pour l’adresse e-mail liée à son profil Xbox. Néanmoins, les voleurs ont commencé à abuser de leur accès pour acheter des jeux sur Xbox et des sites tiers.
« Pendant cette période, nous avons commencé à réaliser que son compte bancaire était tiré par des achats de jeux sur Xbox et [Electronic Arts]», se souvient Dayman l’aîné. « J’ai extrait les codes de récupération de son compte Xbox du coffre-fort, mais parce que le pirate est entré et a activé le multifacteur, ces codes nous étaient inutiles. »
Le support Microsoft a envoyé à Dayman et à son fils une liste de 20 questions auxquelles répondre à propos de leur compte, telles que le numéro de série sur la console Xbox initialement lié au compte lors de sa création. Mais bien qu’il ait répondu avec succès à toutes ces questions, Microsoft a refusé de les laisser réinitialiser le mot de passe, a déclaré Dayman.
« Ils ont dit que leur politique était de ne pas remettre les comptes à quelqu’un qui ne pouvait pas fournir le deuxième facteur », a-t-il déclaré.
Le cas de Dayman a finalement été transmis au support de niveau 3 de Microsoft, qui a pu le guider dans la création d’un nouveau compte Microsoft, l’activation de MFA, puis la migration du profil Xbox de son fils vers le nouveau compte.
Microsoft a déclaré à BreachTrace que même si les utilisateurs ne sont actuellement pas invités à activer la vérification en deux étapes lors de l’inscription, ils ont toujours la possibilité pour activer la fonction.
« Les utilisateurs sont également invités peu de temps après la création du compte à ajouter des informations de sécurité supplémentaires s’ils ne l’ont pas encore fait, ce qui permet au client de recevoir des alertes de sécurité et des promotions de sécurité lorsqu’il se connecte à son compte », a déclaré la société dans un communiqué écrit. « Lorsque nous remarquons une tentative de connexion inhabituelle à partir d’un nouvel emplacement ou d’un nouvel appareil, nous contribuons à protéger le compte en contestant la connexion et en envoyant une notification à l’utilisateur. Si le compte d’un client est compromis, nous prendrons les mesures nécessaires pour les aider à récupérer le compte.”
Certes, ne pas activer la MFA lorsqu’elle est proposée présente un risque beaucoup plus grand pour les personnes ayant l’habitude de réutiliser ou de recycler les mots de passe sur plusieurs sites. Mais tout service auquel vous confiez des informations sensibles peut être piraté, et l’activation de l’authentification multifacteur est une bonne protection contre la fuite ou le vol d’informations d’identification utilisées pour piller votre compte.
De plus, un grand nombre de sites et de services en ligne prenant en charge l’authentification multifacteur sont entièrement automatisés et extrêmement difficiles à joindre pour obtenir de l’aide en cas de piratage de compte. C’est d’autant plus vrai si les attaquants peuvent également modifier et/ou supprimer l’adresse e-mail d’origine associée au compte.
BreachTrace a longtemps dirigé les lecteurs vers le site 2fa.répertoire, qui détaille les différentes options MFA proposées par les sites Web populaires. Actuellement, twofactorauth.org répertorie près de 900 sites qui proposent une forme de MFA. Celles-ci vont des options d’authentification comme codes à usage unique envoyé par e-mail, appels téléphoniques, SMS ou application mobile, vers une véritable « authentification à 2 facteurs » plus robuste ou des options 2FA (quelque chose que vous avez et quelque chose que vous connaissez), telles que des clés de sécurité ou une 2FA basée sur le push comme Sécurité duo (un annonceur sur ce site et un service que j’utilise depuis des années).
Les codes à usage unique basés sur les e-mails, les SMS et les applications sont considérés comme moins robustes du point de vue de la sécurité, car ils peuvent être sapés par une variété de scénarios d’attaque bien établis, de l’échange de carte SIM aux logiciels malveillants basés sur les mobiles. Il est donc logique de sécuriser vos comptes avec la forme de MFA la plus puissante disponible. Mais gardez à l’esprit que si les seules options d’authentification supplémentaires offertes par un site que vous fréquentez sont les SMS et/ou les appels téléphoniques, c’est toujours mieux que de simplement compter sur un mot de passe pour sécuriser votre compte.