EvilProxy : l'outil pour pirater la double authentification

L'authentification à double facteur n'est plus synonyme de sécurité ! Des pirates viennent de mettre en place le service EvilProxy, qui parvient à déjouer cette protection. Même les hackers débutants peuvent l'utiliser !

Pour se connecter à des services comme Gmail, Facebook, Microsoft ou Google Docs, il est plus que vivement recommandé d'activer manuellement l'authentification à double facteur – également appelée double authentification –, véritable gage de sécurité. Le principe est simple : en plus de l'identifiant et du mot de passe habituels, l'utilisateur doit fournir un deuxième code pour prouver qu'il s'agit bien de lui. Généralement, il s'agit de rentrer un code envoyé par SMS sur le numéro de mobile que fourni ou d'utiliser une application ou un service d'authentification. Ainsi, si une personne malveillante tente d'accéder au compte grâce à l'identifiant et le mot de passe, une étape supplémentaire est demandée avant de livrer les données. Bref, bien pratique en cas de phishing !

Le problème, c'est que les pirates renouvellent sans cesse leurs techniques et mettent au point de nouvelles stratégies. La dernière en date : le service EvilProxy – également connu sous le nom de Moloch – qui automatise les attaques de phishing et contourne les comptes protégés par l'authentification à double facteur sur les sites et services en ligne les plus populaires, comme Apple, Google, Microsoft, Wordpress, LinkedIn ou encore Twitter. EvilProxy est d'autant plus inquiétant que les annonces pour ce service pullulent sur les principaux forums de hackers et s'adresse aux pirates néophytes – qui n'ont donc pas assez de compétences ni de connaissances pour s'attaquer à de tels géants d'Internet. Cette découverte, réalisée par les chercheurs en sécurité de Resecurity, va de pair avec l'augmentation des attaques contre les services en ligne et les mécanismes de la double authentification.

EvilProxy : une plateforme de piratage tout-en-un

La première mention d'EvilProxy a été détectée en mai 2022, et sa popularité n'a fait que croitre depuis. Une des causes est qu'il est très facile à utiliser, y compris pour les pirates débutants. Il suffit de choisir le type de compte à attaquer – Google, Meta, Yahoo, Dropbox, etc – via un abonnement : 150 dollars pour 10 jours, 250 dollars pour 20 jours et 400 dollars pour 31 jours, payé via Telegram – à noter que les attaques contre Google sont plus chères, allant jusqu'à 600 dollars. Le client malveillant configure et gère ensuite ses campagnes de phishing depuis la plateforme, tandis qu'EvilProxy s'occupe de mettre en place toute l'infrastructure d'attaque et de créer de fausses pages de connexion – très fidèlement reproduites.

Celles jouent d'ailleurs un rôle central dans l'opération. Tout commence par une campagne de phishing des plus classiques : le pirate se fait passer pour le service visé – donc Facebook, Google et compagnie – et contacte sa victime par mail, SMS, messagerie instantanée ou les réseaux sociaux, avec un message contenant un lien frauduleux. La victime clique dessus et est renvoyée sur une fausse page de connexion, qui l'invite à entrer ses identifiants. Et c'est là où EvilProxy se montre malin ! La fausse page est un serveur proxy qui va servir d'intermédiaire entre la victime et le site ciblé… en récoltant toutes les informations d'identification au passage. Lorsque la personne rentre ses identifiants, le proxy transmet les informations au site web légitime. Celui-ci renvoie au proxy la demande de double identification – qui est à son tour transmise à la victime. Cette dernière envoie au proxy le code pour la double identification, qui le transmet ensuite au site web, qui retourne au proxy l'accès au compte. Bref, EvilProxy joue le rôle d'un intermédiaire caché.

EvilProxy : un outil à la portée de tous les hackers

Contrairement aux autres attaques de ce type – que l'on nomme des attaques man-in-the-middle (MITM) – EvilProxy propose une approche accessible et même conviviale. Une fois abonnés au service, les hackers reçoivent des vidéos d'instruction et des didacticiels détaillés sur l'utilisation de l'outil. L'interface est claire et permet de configurer simplement ses campagnes. "La location d'EvilProxy nécessite un apprentissage rapide, les cybercriminels disposent ensuite d'une solution rentable et évolutive pour réaliser des campagnes de phishing avancées, visant à compromettre les consommateurs de services en ligne populaires dont l'authentification multifacteurs est activée", explique Resecurity. Cela démontre l'amélioration des arsenaux dont disposent les pirates et la sophistication de leurs campagnes, au grand dam des internautes.