Un nouveau kit de phishing sophistiqué, baptisé Astaroth, parvient à contourner l’authentification à deux facteurs des comptes Gmail, Microsoft et Yahoo. Les experts cyber lancent l’alerte à son sujet.
J’utilise Authy en 2FA.est ce aussi efficace qu’une clef physique chère et imparfaite pour sauvegarder/transférer les paramètres d’authentification ? Le sujet parle de double authentification sans être précis .apparemment ça concerne les SMS.Mais pour les autres méthodes ?
Ben avec un peu de couilles et de coordination, ces bullet proof pourraient servir de cibles SAD à des services informatique de sécurité du renseignement. Lachez vous et larguez de l’agent orange roundUp binaire, Faites vous plaisir …
Est-ce qu’ils existe des solutions dans le genre mais légales ? C’est à dire pour ne pas avoir à subir une double authentification sur son propre compte quand il n’y a aucun moyen d’y désactiver.
Bonne question.
J’utilise aussi Authy et je pensais acheter des clés Ubikey (Il faut plusieurs clés pour les backups…).
Toutefois j’ai vu que beaucoup avaient une vulnérabilités non réparable, car elles n’ont pas de firmware pouvant être me mis à jour, donc il faut racheter les dernières qui ont été corrigées.
Mais l’article est clair: Pour bypasser le 2FA ont doit se connecter sur un lien trafiqué.
Donc les précautions d’usage sont toujours les mêmes: Ne jamais utiliser un PC avec un compte admin sur Internet, ne jamais installer de logiciels dont le média n’est pas officiel, etc…
1 « J'aime »
Ce que je ne saisis pas, c’est que 2 services cités au moins n’utilisent pas de code 2FA mais un message sur un appareil de confiance pour confirmer la connexion.