Le malware Cerberus dispose d’une fonction qui extrait les codes à usage unique et les envoie à un serveur externe. Preuve que le smartphone n’est pas le meilleur endroit pour faire de l’authentification forte.
L’authentification forte par SMS, on le sait, n’est plus très recommandable, car les pirates disposent de moyens pour les intercepter. C’est pourquoi les banques abandonnent progressivement ce type de technologie au profit de codes à usage unique générés par des applications mobiles. Mais cette solution n’est pas forcément idéale non plus, comme le montre un rapport de ThreatFabric.
Cette société a récemment mis la main sur une nouvelle version du cheval de Troie Cerberus, capable de voler les codes générés par Google Authenticator, l’une des applications les plus populaires dans le domaine de l’authentification forte.
En abusant des privilèges d’accessibilité sur Android, ce malware peut extraire les codes de l’interface graphique de l’application, et les envoyer à un serveur externe.
Powered by TeamViewer
Lancer l’application Google Authenticator n’est pas un grand problème, car Cerberus intègre TeamViewer, le célèbre logiciel de prise de contrôle à distance utilisé par les services de maintenance informatique. Cela permet d’installer et de lancer n’importe quelle application sur le téléphone. Au préalable, il faudra évidemment récupérer le code de déverrouillage de l’appareil. Ça tombe bien, Cerberus dispose justement d’une fonction qui génère un « overlay » sur l’écran de déverrouillage, c’est-à-dire une interface graphique qui vient se superposer sans que cela se voie. Au moment où l’utilisateur rentre son code, il est intercepté par le pirate.
Google Authenticator n’est utilisé par aucune banque française à notre connaissance. Les établissements préfèrent intégrer la génération des codes à usage unique — ou la simple validation par un bouton OK — directement dans leurs applications mobiles. Mais rien n’empêche d’imaginer une variante de Cerberus taillée sur mesure pour ces applications dédiées.
Ce malware assez sophistiqué montre que le smartphone n’est pas forcément le meilleur choix pour générer un second facteur d’authentification. Si l’appareil est infecté par un cheval de Troie, la sécurité de l’authentification forte ne vaut plus rien. C’est pourquoi il serait plus judicieux d’utiliser des clés de sécurité, comme celles proposées par Yubico ou Google, avec la Titan. Ce matériel est impossible à pirater et offre donc une bien meilleure sécurité. Encore faudrait-il que les banques les intègrent dans leurs technologies d’accès.
Source : 01net