Comment les chevaux de Troie piègent-ils l’authentification à deux facteurs ?

L’emploi de l’authentification à deux facteurs pour envoyer des SMS est largement utilisé par les institutions bancaires. Même si ces mesures fonctionnent mieux qu’un simple mot de passe, elles ne sont pourtant pas sans failles. Il y a 10 ans, lorsque cette mesure de protection a commencé à gagner en popularité, les spécialistes en sécurité ont découvert comment cette dernière pouvait être piratée.

Les concepteurs de malwares l’ont bien compris et c’est pour cette raison que les développeurs de chevaux de Troie arrivent à déjouer les mots de passes envoyés par SMS avec facilité. Voici la façon dont ils procèdent :

1. Un utilisateur lance l’application bancaire originale sur un smartphone.

2. Un cheval de Troie détecte quelle application est utilisée, et recouvre son interface d’une fausse copie. L’écran piratée ressemblant en tout point à l’original.

3. La victime entre son identifiant et son mot de passe sur la fausse application.

4. Le cheval de Troie communique les données de l’utilisateur aux hackers. Ils les utilisent pour s’identifier sur l’application bancaire de l’utilisateur.

5. Ensuite les coupables sollicitent une transaction financière vers leur compte.

6. Le portable des victimes reçoit un SMS avec un mot de passe

What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security

— Kaspersky Lab (@kaspersky) June 9, 2014

7. Le cheval de Troie extrait le mot de passe du SMS et l’envoie aux hackers.

8. Le cheval de Troie dissimule le SMS à l’ La victime ignore donc les opérations en cours jusqu’à ce qu’elle accède à son compte bancaire et à son historique de transactions.

9. Les hackers utilisent un mot de passe intercepté pour confirmer la transaction et recevoir l’argent de leurs victimes.

Nous exagérons à peine lorsque nous affirmons que <strong>n’importe quel</strong> cheval de Troie moderne sait comment détourner les SMS de l’authentification à deux facteurs. En réalité, les concepteurs de malwares n’ont pas d’autre choix : comme toutes les banques font appel à cette mesure de protection, les chevaux de Troie doivent s’y adapter.

Evolution of #Asacub trojan: from small fish to ultimate weapon – https://t.co/lLv0pY4lol #infosec #mobile #banking pic.twitter.com/gAM3zzy7aC

— Kaspersky Lab (@kaspersky) January 20, 2016

Il existe de nombreuses applications malveillantes capables d’y arriver, plus que vous ne pourriez l’imaginer. Rien que pour les deux derniers mois, nos experts ont posté trois comptes rendus détaillés dédiés aux différentes familles de malwares. Toutes plus effrayantes les unes que les autres.

1. Une application d’espionnage qui se développe par le biais d’un cheval de Troie, conçue pour détourner de l’argent des applications bancaires.

2. Un redoutable cheval de Troie capable de recouvrir des interfaces d'<strong>à peu près 30 applications bancaires différentes</strong>. D’ailleurs, le malware mobile maîtrise de plus en plus cette tendance: au début les chevaux de Troie ne ciblaient qu’une application de certaines banques ou services de paiement, mais désormais ils peuvent en falsifier plusieurs à la fois.

3. Banloader. Une multiplateforme d’origine brésilienne, capable de se lancer simultanément sur les ordinateurs et les téléphones mobiles.

#Android trump card: Acecard https://t.co/yHxyACMslU #banking pic.twitter.com/DmnUAOJvSM

— Kaspersky Lab (@kaspersky) February 22, 2016

Comme vous pouvez le constater, l’authentification à deux facteurs n’est pas en mesure de vous protéger contre les chevaux de Troie bancaires, et cela depuis des années. La situation actuelle n’est pas prête de s’arranger. Il devient donc indispensable que vous disposiez de mesures de sécurité supplémentaires.

La règle de base qui peut vous aider (mais pas sûre à 100%) est d’installer des applications provenant uniquement des boutiques officielles. Le problème est que des cas de chevaux de Troie ont déjà été détectés sur Google Play et même sur App Store.

C’est pourquoi, l »option qui demeure la plus fiable est celle d’installer un bon antivirus mobile. Vous pouvez commencer avec la version de base de Kaspersky Internet Security. Elle est gratuite, cependant vous aurez besoin d’examiner vos appareils manuellement de temps à autre. La version complète est plus élaborée, étant donné qu’elle détecte les virus dans la foulée, mais à la différence de la version de base, elle est payante.