Partager cet article

Les principaux exchanges de cryptomonnaies utilisent toujours le 2FA malgré l’arrêt du support par Google
Actualités

Les principaux exchanges de cryptomonnaies utilisent toujours le 2FA malgré l’arrêt du support par Google

Aucun des 85 000 employés de Google n’a été victime de phishing depuis début 2017, lorsqu’il a été annoncé que ceux-ci cessaient d’utiliser leur propre application Authenticator au profit d’un model U2F.

LES PRINCIPALES PLATEFORMES D’ECHANGE DE CRYPTOMONNAIES UTILISENT ACTUELLEMENT GOOGLE AUTHENTICATOR.

Ce passage était nécessaire puisque, comme l’a rapporté APWG avec des données récentes, le nombre d’attaques par phishing ont triplé depuis 2013 avec plus de 246 millions d’utilisateurs ayant tenté d’accéder à plus de 1,2 millions de sites de phishing seulement en 2017. Les 25 principaux exchanges de cryptomonnaies utilisent actuellement Authenticator pour l’identification à double facteur (2FA).

Google Authenticator a été largement considéré comme étant une amélioration du modèle de 2FA par SMS depuis que le US National Institute of Standards and Technology (NIST) a publié des recommandations incitant à bannir la double authentification par SMS du fait de sérieux problèmes de sécurité. Authenticator et son compétiteur industriel Authy sont devenus des modèles 2FA de seconde génération, conçus pour aborder les vulnérabilités des codes texte mobiles interceptés par les hackers.

Ces deux technologies nécessitent que les utilisateurs renseignent des codes à usage unique générés par une application sur les sites web, évitant l’utilisation de lignes mobiles vulnérables. Cependant, cela ne protège pas les employés et consommateurs d’attaques par phishing via des liens email ou de faux  sites. Les utilisateurs insouciants entreront leur code de sécurité provenant de l’application sur un site frauduleux et le hacker récupèrera immédiatement les données pour accéder à leur compte sur le vrai site internet.

ATTAQUES PAR PHISHING : UNE PREOCCUPATION CROISSANTE

Ces méthodes sophistiquées de phishing sont de plus en plus difficiles à détecter au cours de ces dernières années. Selon un rapport récent de Verizon Data Breach Investigations, 30% des messages de phishing sont ouverts par les utilisateurs et 12% de ces derniers ouvrent la pièce-joint ou le lien que ces mails contiennent.

Un rapport de l’entreprise PhishMe, spécialisée dans la protection et la résistance contre le phishing, mentionne que les tentatives de phishing ont augmenté de 65% au cours de l’année dernière. Avec 1,5 millions de nouveaux sites frauduleux créés chaque mois, d’après le dernier rapport de Webroot Threat, beaucoup d’utilisateurs restent plus vulnérables que jamais.

Intel Security a publié une étude de connaissances des consommateurs menée avec  19000 personnes issues de 144 pays portant sur leur aptitude à détecter des emails frauduleux et ont obtenus un résultat stupéfiant, lequel indique que 80% des personnes interrogées ont au moins une réponse erronée,  ce qui met toutes les chances du côté des hackers.

Ces problèmes semblent être les plus critiques dans la sphère des cryptomonnaies. Il a été estimé que 1,1 milliard de $ en cryptomonnaies a été dérobé seulement au premier semestre 2018 et cela fut assez aisé à réaliser selon Carbon Black, une société de cyber sécurité primée dans le domaine.

Une recherche en ligne associant toute plateforme majeure d’échange de cryptomonnaies et le terme « hacking » débouche sur des pages Reddit et Twitter jonchées de plaintes d’utilisateurs dont les comptes ont été vidés, et ce malgré l’utilisation du 2FA de Google Authenticator.

Outre les emails frauduleux, de nombreux utilisateurs de cryptomonnaies tombent dans le piège de faux sites internet via des recherches Google portant sur leur exchange (recherche du style « binance.com »), ce qui a amené le leader de cette industrie , Binance, à diffusé un communiqué demandant au public d’enregistrer le site dans leurs favoris et de s’abstenir d’utiliser Google search. Binance fait d’ailleurs savoir que ses ingénieurs sont à la recherche de nouvelles façons d’améliorer les mesures de sécurité.

Ce mois dernier, une troisième génération de technologie d’authentification à double facteur, l’application mobile Hydro, a été déployée sur le marché. Elle intègre de nouvelles mesures contre le phishing que l’actuelle deuxième génération d’applications dans ce domaine ne fournit pas.

L’application Hydro, basée sur la crypto, a été conçue pour fournir des codes à usage unique générés d’abord par le site web original. Ces codes sont ensuite entrés dans l’application blockchain du téléphone de l’utilisateur pour s’authentifier.

Cela évite à l’utilisateur d’entrer ses données de sécurité sur un site frauduleux vers lequel reverrait tout email ayant l’air officiel de façon convaincante. La firme derrière cette technologie, Hydrogen, a remporté le « Fintech Start-Up of The Year «  de cette année et a récemment signé un partenariat à long terme avec TD Bank, une banque du top 15 mondial.

Cette troisième génération de modèle 2FA et le modèle de clé de sécurité physique U2F sont maintenant les moyens les plus sécurisés pour protéger les données sensibles et les comptes financiers des consommateurs. La technologie 2FA évoluant, de plus en plus d’institutions financières et de plateformes d’échange de cryptomonnaies jetteront un œil sur ces modèles de troisième génération qui s’avèrent être les plus sûrs que ce soit pour un usage domestique ou pour les milliards de clients financiers autour du globe.

 

Et vous, que pensez-vous de l’utilisation du 2FA de Google Authenticator par les plateformes d’échange ? N’hésitez pas à donner votre avis dans les commentaires !  

 

Source : Bitcoinist.com

Un coup de pouce pour cet article ?

4+

Partager cet article

Laisser un Commentaire

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>