Faille pour la double authentification Google ?

Posted On 13 Juin 2014

Tag: authenticator, double authentification, google

Depuis quelques mois, Google propose un excellent outil baptisé Authenticator. L’idée, permettre une double authentification sur un site web, une administration web, un forum, Facebook… [A découvrir ici, ndlr].

Un problème vient d’être mis à jour par un ami et lecteur de zataz.com. Quand un compte Google est fermé (Youtube, gMail, …) par la société américaine, le système de sécurité du géant américain est mis à mal. Pour Youtube par exemple, facile de faire fermer un compte. Il suffit de déclarer au portail de diffusion de vidéos une utilisation de musique contrefaite et Google intervient. Au bout d’un certains nombre d’avertissements Google bloque le compte et a une fâcheuse tendance à désactiver le compte plutôt que le produit en lui même.Bilan, si vous utilisez Authenticator, le fait de voir le compte coupé bloque aussi le téléphone qui gère la double authentification, ainsi que Chrome, Hangout.

Le problème se situe là où ne l’attend pas. Lorsqu’un compte est désactivé par Google, la double authentification est désactivée aussi ! Un internaute, pour réactiver son espace, doit se connecter sur mon compte Google depuis un navigateur ; de certifier le compte avec un SMS, même si le compte était déjà certifié. Il est demandé un numéro de téléphone pour valider le SMS. Comme Hangout est hors service, il faut mettre un autre numéro de téléphone… et là surprise, la technique fonctionne. Cela veut dire qu’il est possible de mettre n’importe quel numéro de téléphone.

Scénario pirate possible

Un pirate récupère un mot de passe Google via la méthode de son choix : social engineering, phishing… La victime à la double authentification, le pirate est donc bloqué. La cible a une chaine Youtube, le pirate fait plusieurs fausses déclarations de droits d’auteurs et fait bloquer le compte Google. Le pirate va ensuite se connecter et passer outre la double authentification en mettant un numéro de téléphone de son choix. Il y a de nombreuses conditions pour réussir l’attaque, mais un pirate volontaire y mettra le temps et les moyens.

Google Security a été alerté et nous a confirmé la prise en compte de notre alerte.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.