Faille pour la double authentification Google ?
Depuis quelques mois, Google propose un excellent outil baptisé Authenticator. L’idée, permettre une double authentification sur un site web, une administration web, un forum, Facebook… [A découvrir ici, ndlr].
Un problème vient d’être mis à jour par un ami et lecteur de zataz.com. Quand un compte Google est fermé (Youtube, gMail, …) par la société américaine, le système de sécurité du géant américain est mis à mal. Pour Youtube par exemple, facile de faire fermer un compte. Il suffit de déclarer au portail de diffusion de vidéos une utilisation de musique contrefaite et Google intervient. Au bout d’un certains nombre d’avertissements Google bloque le compte et a une fâcheuse tendance à désactiver le compte plutôt que le produit en lui même.Bilan, si vous utilisez Authenticator, le fait de voir le compte coupé bloque aussi le téléphone qui gère la double authentification, ainsi que Chrome, Hangout.
Le problème se situe là où ne l’attend pas. Lorsqu’un compte est désactivé par Google, la double authentification est désactivée aussi ! Un internaute, pour réactiver son espace, doit se connecter sur mon compte Google depuis un navigateur ; de certifier le compte avec un SMS, même si le compte était déjà certifié. Il est demandé un numéro de téléphone pour valider le SMS. Comme Hangout est hors service, il faut mettre un autre numéro de téléphone… et là surprise, la technique fonctionne. Cela veut dire qu’il est possible de mettre n’importe quel numéro de téléphone.
Scénario pirate possible
Un pirate récupère un mot de passe Google via la méthode de son choix : social engineering, phishing… La victime à la double authentification, le pirate est donc bloqué. La cible a une chaine Youtube, le pirate fait plusieurs fausses déclarations de droits d’auteurs et fait bloquer le compte Google. Le pirate va ensuite se connecter et passer outre la double authentification en mettant un numéro de téléphone de son choix. Il y a de nombreuses conditions pour réussir l’attaque, mais un pirate volontaire y mettra le temps et les moyens.
Google Security a été alerté et nous a confirmé la prise en compte de notre alerte.