D’après des chercheurs en cybersécurité de Fox-IT, le groupe de pirates informatiques APT20 directement lié au gouvernement chinois, est parvenu à contourner la double authentification.

La double authentification ne suffit plus

Si en mai Google nous disait que la double authentification était le meilleur moyen de se protéger, ce n’est peut-être plus le cas aujourd’hui. En effet, d’après les informations de la firme de Mountain View, la majorité des attaques viendrait de robots. Ainsi, le simple ajout d’un numéro de téléphone de récupération pourrait bloquer 100% des robots automatisés, 99% des attaques phishing de masse, et 76% des attaques ciblées. Pour Fox-IT, aujourd’hui, ce n’est plus suffisant.

Dans son rapport, l’entreprise de sécurité Fox-IT explique comment ce groupe de hackers chinois a pu contourner la sécurité à double-authentification, paramètre sécuritaire normalement inviolable. En effet, les pirates ont réussi à se connecter à des VPN protégés par une sécurité à deux facteurs. Les chercheurs néerlandais ne sont pas capables d’expliquer précisément comment les hackers ont procédé mais ils l’affirment, ils y sont parvenus.

Fox-IT pense que APT20 a réussi à voler un “jeton logiciel RSA SecurID” directement depuis un système piraté. Les hackers auraient pu l’utiliser sur l’une de leurs machines dans le but de générer des codes à validité unique, ce qui permet de contourner la sécurité à deux facteurs. L’un des chercheurs précise que “le jeton est généré pour des variables spécifiques du système, mais évidemment ces variables peuvent être récupérées par l’auteur de l’attaque quand il a accès au système de la victime”.

APT20 : des hackers reliés au gouvernement chinois

Un coup dur pour le monde de la cybersécurité qui va devoir repenser de nouvelles manières de sécuriser les données. Si APT20 peut le faire aujourd’hui, des centaines d’autres hackers en seront aussi capables demain. Ce groupe de pirates informatiques est longtemps resté sous les radars des autorités.

Ce n’est qu’à partir de 2016 que nous avons entendu parler de ces hackers alors qu’ils sévissent en réalité depuis 2011. Parmi les cibles préférées des pirates, les réseaux gouvernementaux. Pas étonnant quand on sait que le groupe est directement lié au gouvernement chinois.

APT20 s’est fait démasquer à la suite d’un appel d’une des entreprises victimes, qui demandait de l’aide à Fox-IT. Ce cas précis est marqué par le terme “Wocao” un mot d’argot chinois qu’on pourrait traduire par “putain” en français. En effet, lors de cette attaque, les pirates essayaient d’exécuter des commandes Windows en vain, jusqu’à ce qu’ils comprennent qu’ils étaient démasqués. À ce moment prévis, un hacker tape une dernière commande par frustration, la fameuse “wocao”.