Tout juste instaurée par la directive DSP2 et encore loin d’être appliquée par la majorité des e-commerçants européens, l’authentification multifactorielle présente des failles de sécurité inquiétantes. Bien que les cas d’intrusion soient rares, le FBI les a répertoriés afin d’identifier les méthodes employées et alerter les professionnels de la sécurité.

Initialement prévue le 14 septembre 2019, l’entrée en vigueur de la nouvelle directive sur les services de paiement (DSP2) a fait l’objet d’un plan de transition progressif accordant aux e-commerçants un délai pour se mettre à niveau. Le 17 septembre le FBI a averti plusieurs partenaires privés sur des cas d’attaques envers des sociétés parvenues à contourner les solutions d’authentification multifactorielles. « Le FBI a observé des acteurs contournant l’authentification multifactorielle par des attaques d’ingénierie sociale et techniques communes», peut-on lire sur la notification envoyée.

Bien qu’il existe une multitude de techniques pour s’affranchir de cette mesure de sécurité des paiements, obligatoire pour les ecommerçants, le bureau fédéral d’investigation souligne la menace du SIM swapping — technique consistant à s’approprier le numéro de téléphone de la victime en l’attribuant à une nouvelle carte SIM — qui avait notamment permis à un groupe de hackers de prendre possession du compte Twitter de Jack Dorsey, le patron du réseau social. Le FBI alerte également l’opinion sur la vulnérabilité des pages de gestion de l’authentification ou encore l’utilisation de proxys comme Muraen et NecroBowser. ZDnet a répertorié la liste d’incidents fournie par le FBI ayant permis à des pirates de contourner l’authentification à plusieurs facteurs pour voler de l’argent aux entreprises ciblées.

Mieux vaut prévenir que guérir. Pour l’heure, l’alerte du FBI constitue une mesure préventive qui ne remet pas en cause la procédure de sécurité. «L’authentification multifactorielle reste une mesure de sécurité forte et efficace pour protéger les comptes en ligne, tant que les utilisateurs prennent des précautions pour éviter d’être victimes de ces attaques», a déclaré le FBI.

Hugo Pellegrin-T.O.M