Amnesty International dévoile un système performant mis en place par des pays du Golfe pour briser la sécurité « double-authentification » de comptes Gmail ou Proton.

Amnesty International a enquêté sur deux campagnes d’hameçonnage (phishing) vraisemblablement menées par des gouvernements arabes à l’encontre de journalistes et militants des droits de l’homme. L’ONG affirme que ces dernières ont ciblé des centaines de personnes. En outre, pour toucher ces cibles généralement plus protégées numériquement, les campagnes avaient implanté un processus pour briser la double-authentification lorsque cette dernière est activée.

L’organisation note : « De plus en plus de défenseurs des droits humains sont conscients des menaces. Beaucoup ont pris des mesures pour améliorer leur résistance aux attaques. Souvent, ils utilisent des fournisseurs mail plus sécurisé, respectant la confidentialité et activent la double-authentification pour leurs comptes en ligne.  » Cependant, les attaquants en charge de surveiller ces cibles adaptent leurs stratégies à cette nouvelle configuration.

Une menace sophistiquée

Lors de la première campagne, l’hameçonnage prenait en compte les cibles utilisant des messageries comme Proton, réputées sécurisées et plus confidentielles ou encore Tutanota. Les attaquants ont imité l’interface de ces deux boîtes mail en prenant soin de ne laisser aucun détail à même de rendre suspecte leur tentative d’hameçonnage : la fausse page Tutanota (tutanota.org au lieu de .com) disposait d’une connexion chiffrée (https).

Ces faux sites ont touché des centaines de militants qui ont rapporté à l’ONG les éléments à analyser. Ces derniers, précise l’organisation, se situaient majoritairement au Moyen-Orient, accréditant la piste d’une surveillance d’un état (state-sponsored) dans la région. Le système mis en avant pour cibler les militants reprend en outre les méthodes dévoilées par Bill Marczak de Berkeley lorsque le chercheur enquêtait sur la surveillance aux Émirats arabes unis (E.A.U.).

Abu Dhabi, 2017 Teseum

La seconde campagne a également alerté l’organisation par sa sophistication. Lors de cette dernière un processus automatisé a été mis en place pour briser la sécurité des comptes Google et Yahoo utilisant la double-authentification. Selon une formule classique, la cible reçoit un mail fallacieux de Google le prévenant qu’elle doit urgemment modifier son mot de passe : le mail prend exemple sur les alertes de sécurité envoyées par Google ou Yahoo.

Seulement, par-delà la récupération des mots de passe de la cible, le système de faux site va également pouvoir passer la sécurité de la double-authentification en utilisant pour cela le serveur de Google. En lançant une tentative de connexion avec le mot de passe livré par la cible, le serveur automatique de l’attaquant déclenche un SMS de double-authentification, que la cible recevra et transmettra à l’attaquant. Ainsi, avec un intermédiaire unique, la double-authentification est trompée et l’attaquant peut conserver un accès au compte Google, ou Yahoo.

Page fallacieuse / Amnesty International

En accédant au serveur des attaquants, Amnesty a découvert une automatisation totale de ce processus. Face à cette sophistication nouvelle, l’ONG prévient les militants : les efforts de sécurité réalisés dans les dernières années étaient importants, néanmoins, l’amélioration de ces processus et la prudence doivent être constantes. « Quand les bonnes pratiques ne sont pas suffisamment bonnes  » titre Amnesty.

Partager sur les réseaux sociaux