Sniperovitch
est avec nous depuis le 27 novembre 2015 ❤️
11/05/2018
Le 11/05/2018 à 11h 59
Tu as un compte sur un site A. Le pirate crée un site B qui est une copie du site A graphiquement. Il t’envoie dessus (phishing ou autre). Tu arrives sur la page d’authentification. Tu indiques ton identifiant et ton mot de passe. Le site B envoie ça au site A Le site A demande le code du 2FA (soit soft token, soit SMS) Le site B te demande le code 2FA Tu reçois le SMS ou tu regardes ton soft token Tu donnes au site B le code Le site B donne le code au site A Le site A envoie le cookie de session à B Le site B enregistre le cookie de session et te l’envoie puis te redirige sur le site A officiel. L’authentification s’est déroulée entièrement, au milieu quelqu’un a récupéré ton cookie.
1 commentaires
Un chercheur explique comment contourner l’authentification à deux facteurs grâce aux cookies de session
11/05/2018
Le 11/05/2018 à 11h 59
Tu as un compte sur un site A.
Le pirate crée un site B qui est une copie du site A graphiquement.
Il t’envoie dessus (phishing ou autre).
Tu arrives sur la page d’authentification.
Tu indiques ton identifiant et ton mot de passe.
Le site B envoie ça au site A
Le site A demande le code du 2FA (soit soft token, soit SMS)
Le site B te demande le code 2FA
Tu reçois le SMS ou tu regardes ton soft token
Tu donnes au site B le code
Le site B donne le code au site A
Le site A envoie le cookie de session à B
Le site B enregistre le cookie de session et te l’envoie puis te redirige sur le site A officiel.
L’authentification s’est déroulée entièrement, au milieu quelqu’un a récupéré ton cookie.