Forum Clubic

Commentaires : Des hackers arrivent à détourner le système de double authentification de Google

L’authentification à deux facteurs, saluée pour avoir renforcé la protection des connexions en ligne, a pourtant été détournée par de malins hackers.

Plus de peur que de mal dans le titre : il y a phishing. Certes un phishing malin qui arrive à se jouer des 2 facteurs, mais le système en lui même n’est pas cassé.

Ça y est, on est en plain dans la fake news.
Personne n’a piraté le système 2FA de Google, il s’agit du phishing.

effectivement rien d’extraordinaire, ils ont soumis les login/pass a google et laisser le système envoyer l’authentification 2 facteur puis demander celle-ci à l’utilisateur…
il n’ont rien contourner ils ont réussi obtenir les deux authentification tout simplement.
C’est pour ça qu’une meilleur double authentification deux facteurs c’est bien un système physique.

« Après qu’ils aient reçu le code » => Après qu’ils ONT reçu le code.

« Après que » toujours suivi de l’indicatif.

@Alexandre Boero, veuillez VOUS TAIRE et retourner prendre des cours de journalisme… ah zut oui c’est vrai vous n’êtes pas un vrai journaliste mais juste un vulgaire blogeur que clubic a certainement embauché sans vérifier son CV. Votre titre est racoleur et mensonger. Il n’y a pas de piratage vous dites de la lerd. C’est même HONTEUX pour vous.

Bonjour, on ne détourne pas un système de sécurité, on le contourne. Par contre, on détourne un usage.

Le systeme en lui même est suffisamment efficace pour que l’on doive tromper le titulaire du compte.
En tout cas jusqu’ici .
L’oeuvre de hackers mercenaires probablement.

Fake news. La méthode décrite ici ne permet pas de pirater un compte. Soit Clubic n’a pas mentionné tous les détails, soit vous relayez une Fake news.

Je m’explique, le code temporaire à une validité uniquement sur le serveur duquel il est envoyé.

Même si on fake un formulaire de connexion qui redirige vers les serveurs de Google, comme les serveurs de Google n’ont pas initié de code temporaire, ils ne peuvent faire la comparaison.

La technique la plus probable, c’est qu’un vrai formulaire de connexion Google soit mis dans le fishing pour que le pirate récupère le “token” de validité. Mais il me semblait que les tokens étaient expirés juste après leur validation.

À deux jours de Noël, écrire un commentaire pareil… tu ne te rends même pas compte de la portée de tes mots ? De ce qu’ils peuvent causer chez la personne à qui ils sont destinés ? Tu penses que nous sommes des pantins sans émotions, stupides et zinzins ? Qu’on peut tout encaisser et que tu peux saper le moral des gens ainsi ? Mais nous sommes des humains, avec notre personnalité, avec nos sentiments, avec notre vécu.

Toi, ô grand courageux qui se cache derrière un vulgaire pseudonyme… tu n’es qu’un sombre imbécile. Je te le dis.

Tu te permets de dénigrer gratuitement et sans aucun argument des personnes sous prétexte que tu n’es pas d’accord avec ce qu’elles écrivent… C’est toi qui devrait avoir honte.

Tu devrais mesurer un peu tes paroles avant de balancer certaines choses. Ce sont des personnes comme toi qui font que le monde va mal… Surtout que tu ne me connais pas, et tu ignores sans doute que j’ai été diplômé avec mention, que j’ai mené des enquêtes, interviewé sur des dossiers sensibles, écrit pour différentes rédacs, mais bon, je ne suis pas là pour étaler mon CV, les gens s’en fichent de ça et ils ont bien raison.

Je pense sincèrement que ta vie ne doit pas être très joyeuse mon gars pour balancer certaines choses… Et de temps en temps, il faut que les gens comme toi prennent conscience du mal qu’ils peuvent causer, sans s’en rendre compte.

La liberté d’expression n’a pas de prix, mais le respect non plus. À bon entendeur.

Et à partir du moment où il y a une volonté de détourner un système informatique d’une manière illégale, on peut parler d’attaque informatique (comme le précise Amnesty International), donc, on peut parler de hacking et de piratage informatique. Nous ne faisons que relayer un rapport d’Amnesty International, et pour le moment, nous sommes bien obligés de constater que ni Yahoo ni Google n’ont daigné contredire ce qui est affirmé dans le rapport. Donc avant de parlez de fake news, allez-y molo également s’il vous plaît.

Sur ce, et là je m’adresse aux gens qui ont un peu d’humanité et qui font des réponses constructives : je vous souhaite un agréable Noël auprès de celles et ceux que vous aimez :wink:

Peace

L interface chaise/clavier reste la plus fragile…

vraiment moyen l’article, j’ai l’impression de retrouver le Clubic des années M6

Belle argumentation !

J’adhère sans réserves.

Je ne vois pas trop en quoi c’est plus évolué que du phishing classique : << Ils ont d’abord envoyé des alertes de sécurité assez convaincantes, par mail, pour guider leurs cibles vers de faux sites. >> - Partant de là, s’il y a encore des gens qui ne savent pas détecter des courriels douteux, c’est autre chose, et pour reprendre un commentaire ici, c’est toujours de l’interface chaise/clavier que vient le problème au départ.

Après, ce que font les hackers pour contourner le système de double authentification de Google grâce aux retours obtenus suite au phishing, ça n’est pas si sophistiqué que ça puisque c’est d’un faux courriel avec réponse (du phishing réussi donc) que partent les pirates. La question initiale c’est de savoir comment ils obtiennent leurs adresses e-mail pour choisir leurs victimes potentielles.

l’article est clair, le titre représente exactement ce que je pensais y trouver, je regrette perso de ne pas avoir eu de détail sur les auteurs qui s’attaquent à des dissidents des émirats, je ne demande pas plus de détails à vrai dire si on peux éviter de vulgariser les bonnes méthodes de phishing.

Bien joué pour ce titre putaclic, ça peut informer des novices de l’existence du phishing

Je suis désolé mais oui c’est bien un hack, malgrès que ça repose sur du phising faire sauter la double auth c’est très rare.
Donc oui le procédé est simple, oui la technique est simple, mais oui c’est plutôt inédit.
Enfin étant moi même admin de plusieurs infra google cloud je pense être susceptible (alors que je suis parano niveau sécu) de me faire avoir.
J’aimerai bien avoir la clé titan pas vendu en France :confused:

attention aussi aux mots de passe application du coté de microsoft
on croit être a l’abri avec la double authentification, mais pour explorer une boite mail microsoft suffit d’un logiciel de messagerie en IMAP + le mot de passe application si il y en a un qui a été générè pour un vieux soft/site microsoft (ils sont sous la forme de 16 lettres minuscules)
Donc bien désactiver les mots de passe application sur votre compte microsoft pour être tranquille (vu que l’Imap n’est pas désactivable contrairement à chez Gmail)

Hum contrairement à ce que beaucoup de gens pensent, ici compris, l’authentification à double facteur est relativement facile à faire sauter…

Étant moi même RSSI j’ai toujours eu du mal à expliquer à quel point c’était simple à mettre en place…

Mais depuis peu je diffuse au personnel qi utilise le SI de mon entreprise la vidéo d’un jeune youtuber (miicode) qui as réussi à parfaitement bien vulgariser et expliciter la procédure :

Voici sa vidéo: https://youtu.be/tqrZAy-JJew

Salut les gars. Je suis une belle et mechante fille qui veux etre votre amant et ami! Mes fotos sexy et des contacts ici >> http://tinders.ml