Bots OTP : Ce qu'ils sont et comment prévenir les attaques

Avec la dépendance croissante aux services en ligne, l'authentification multi-facteurs (MFA) est devenue une ligne de défense critique contre les cyberattaques. Parmi les éléments MFA les plus utilisés, le mot de passe à usage unique (OTP) est un code temporaire et unique destiné à sécuriser les comptes contre les accès non autorisés. Cependant, les OTP ne sont plus aussi infaillibles qu'ils semblaient l'être. Une nouvelle vague d'activités cybercriminelles impliquant des bots OTP remet en question leur efficacité et pose une grave menace pour les entreprises et les particuliers.

Comprendre comment fonctionnent les bots OTP, leurs méthodes d'attaque et des stratégies pour se défendre contre eux est essentiel. Ce guide expliquera les mécanismes derrière les bots OTP et fournira des étapes concrètes que votre organisation peut prendre pour renforcer la sécurité.

Qu'est-ce qu'un OTP ?#

Un mot de passe à usage unique (OTP) est un code unique et sensible au temps utilisé pour l'authentification à usage unique. Générés par des algorithmes basés sur la synchronisation temporelle ou des calculs cryptographiques, les OTP fournissent une couche de sécurité supplémentaire pour les connexions ou les systèmes d'authentification multi-facteurs (MFA).

Les OTP peuvent être délivrés de plusieurs manières :

• Codes SMS: Envoyés par message texte ou vocal.
• Codes par email: Envoyés directement dans la boîte de réception de l'utilisateur.
• Applications d'authentification: Générés localement via des services comme Google Authenticator ou Microsoft Authenticator.

Leur nature éphémère renforce la sécurité, avec des codes générés par application expirant généralement en 30 à 60 secondes, tandis que les codes SMS ou email durent 5 à 10 minutes. Cette fonctionnalité dynamique rend les OTP bien plus sécurisés que les mots de passe statiques.

Cependant, une vulnérabilité clé réside dans leur livraison, car les attaquants peuvent exploiter des faiblesses du système ou des erreurs humaines pour les intercepter. Malgré ce risque, les OTP restent un outil fiable et efficace pour renforcer la sécurité en ligne.

Quel est le rôle des OTP dans la MFA ?#

Comprendre l'authentification multi-facteurs (MFA) est crucial dans le paysage numérique actuel. La MFA renforce la sécurité en exigeant que les utilisateurs vérifient leur identité à travers plusieurs facteurs, ajoutant une couche de protection supplémentaire pour éviter les accès non autorisés.

Un processus MFA typique implique les étapes suivantes :

1. Identifiant utilisateur: C'est ainsi que le système reconnaît les utilisateurs. Il peut s'agir d'un nom d'utilisateur, d'une adresse email, d'un numéro de téléphone, d'un identifiant utilisateur, d'un identifiant employé, d'un numéro de carte bancaire, ou même d'une identité sociale.
2. Premier facteur d'authentification: Le plus souvent, il s'agit d'un mot de passe, mais il peut aussi s'agir d'un OTP par email ou SMS.
3. Deuxième facteur d'authentification: Cette étape utilise une méthode différente de la première, comme des OTP par SMS, des OTP via une application d'authentification, des clés de sécurité physiques, ou des données biométriques comme les empreintes digitales et la reconnaissance faciale.
4. Troisième couche d'authentification facultative: Dans certains cas, une couche supplémentaire est ajoutée. Par exemple, se connecter à un compte Apple sur un nouvel appareil peut nécessiter une vérification supplémentaire.

Ce processus à plusieurs couches améliore considérablement la sécurité, car les attaquants devraient contourner chaque couche pour accéder à un compte.

La MFA repose généralement sur trois catégories de facteurs d'authentification :

En combinant ces méthodes, la MFA crée une défense robuste contre les accès non autorisés. Elle garantit que même si une couche est compromise, la sécurité globale du compte reste intacte, offrant aux utilisateurs une protection renforcée dans un monde de plus en plus connecté.

Que sont les bots OTP ?#

Les bots OTP sont des outils automatisés spécialement conçus pour voler des mots de passe à usage unique (OTP). Contrairement aux attaques par force brute, ces bots s'appuient sur la tromperie et la manipulation, exploitant les erreurs humaines, les tactiques d'ingénierie sociale, ou les vulnérabilités du système pour contourner les protocoles de sécurité.

Prenons l'exemple du processus de vérification commun "Email (comme identifiant) + Mot de passe (comme première étape de vérification) + OTP logiciel/SMS (comme deuxième étape de vérification)". L'attaque se déroule généralement selon les étapes suivantes :

1. L'attaquant accède à la page de connexion ou à l'API de l'application, comme un utilisateur régulier.
2. L'attaquant entre les identifiants fixes de la victime, tels que son adresse email et son mot de passe. Ces identifiants sont souvent obtenus à partir de bases de données d'informations d'utilisateurs divulguées et facilement disponibles à l'achat en ligne. De nombreux utilisateurs ont tendance à réutiliser les mots de passe sur différentes plateformes, les rendant plus vulnérables. De plus, les techniques de phishing sont souvent utilisées pour tromper les utilisateurs et les inciter à révéler leurs identifiants de compte.
3. À l'aide d'un bot OTP, l'attaquant intercepte ou récupère le mot de passe à usage unique de la victime. Dans le délai de validité, ils contournent le processus de vérification en deux étapes.
4. Une fois que l'attaquant a accès au compte, il peut procéder au transfert d'actifs ou d'informations sensibles. Pour retarder la découverte de l'intrusion par la victime, les attaquants prennent souvent des mesures telles que supprimer les alertes de notification ou d'autres signes d'avertissement.

Voyons maintenant plus en détail comment les bots OTP sont mis en œuvre et les mécanismes qui leur permettent d'exploiter ces vulnérabilités.

Comment fonctionnent les bots OTP ?#

Voici quelques-unes des techniques les plus courantes employées par les bots OTP, présentées avec des exemples réels.

Bots de phishing#

Le phishing est l'une des méthodes les plus couramment utilisées par les bots OTP. Voici comment cela fonctionne :

1. L'appât (message frauduleux) : La victime reçoit un faux email ou SMS prétendant provenir d'une source de confiance, comme sa banque, une plateforme de médias sociaux, ou un service en ligne populaire. Le message prétend généralement qu'il y a un problème urgent, comme une tentative de connexion suspecte, un problème de paiement, ou une suspension de compte, et pousse la victime à agir immédiatement.

2. La fausse page de connexion : Le message inclut un lien qui dirige la victime vers une fausse page de connexion conçue pour ressembler exactement au site officiel. Cette page est mise en place par les attaquants pour capturer les identifiants de connexion de la victime.

3. Identifiants volés et MFA déclenchée : Lorsque la victime entre son nom d'utilisateur et son mot de passe sur la fausse page, le bot de phishing utilise rapidement ces identifiants volés pour se connecter au service réel. Cette tentative de connexion déclenche ensuite une demande d'authentification multi-facteurs (MFA), tel qu'un mot de passe à usage unique (OTP) envoyé au téléphone de la victime.

4. Tromper la victime pour obtenir l'OTP : Le bot de phishing trompe la victime en lui demandant de fournir l'OTP via une invite sur la fausse page (par exemple, « Veuillez entrer le code envoyé à votre téléphone pour vérification »). Pensant qu'il s'agit d'un processus légitime, la victime entre l'OTP, donnant sans le vouloir à l'attaquant tout ce dont il a besoin pour terminer la connexion sur le service réel.

Par exemple, au Royaume-Uni, des outils comme les "Bandits SMS" ont été utilisés pour mener des attaques de phishing sophistiquées via des SMS. Ces messages imitent des communications officielles, incitant les victimes à divulguer leurs identifiants de compte. Une fois que ces identifiants sont compromis, les Bandits SMS permettent aux criminels de contourner l'authentification multi-facteurs (MFA) en initiant le vol d'OTP. Alarmant, ces bots atteignent un taux de réussite d'environ 80 % une fois que le numéro de téléphone de la cible est saisi, soulignant l'efficacité dangereuse de ces systèmes de phishing. En savoir plus

Bots de malware#

Les bots OTP basés sur les logiciels malveillants représentent une menace sérieuse, ciblant directement les appareils pour intercepter les OTP basés sur SMS. Voici comment cela fonctionne :

1. Victimes téléchargeant à leur insu des applications malveillantes : Les attaquants créent des applications qui ressemblent à des logiciels légitimes, tels que des outils bancaires ou de productivité. Les victimes installent souvent ces fausses applications par le biais de publicités mensongères, de magasins d'applications non officiels, ou de liens de phishing envoyés par email ou SMS.
2. Le malware obtient l'accès à des autorisations sensibles : Une fois installé, l'application demande des autorisations pour accéder aux SMS, aux notifications, ou à d'autres données sensibles sur l'appareil de la victime. De nombreux utilisateurs, inconscients du risque, accordent ces permissions sans réaliser le véritable objectif de l'application.
3. Le malware surveille et vole les OTP : Le logiciel malveillant fonctionne discrètement en arrière-plan, surveillant les messages SMS entrants. Lorsqu'un OTP est reçu, le logiciel malveillant le transfère automatiquement aux attaquants, leur permettant de contourner l'authentification à deux facteurs.

Un rapport a révélé une campagne utilisant des applications Android malveillantes pour voler des messages SMS, y compris des OTP, touchant 113 pays, avec l'Inde et la Russie les plus durement touchées. Plus de 107 000 échantillons de malware ont été détectés. Les téléphones infectés peuvent être utilisés à leur insu pour s'inscrire à des comptes et récolter des OTP 2FA, posant de graves risques de sécurité. En savoir plus

Attaque de swapping de carte SIM#

Grâce au swapping de carte SIM, un attaquant prend le contrôle du numéro de téléphone d'une victime en duper les fournisseurs de télécommunications. Voici comment cela fonctionne :

1. Impersonation (usurpation d'identité) : L'attaquant recueille des informations personnelles sur la victime (comme le nom, la date de naissance, ou les détails du compte) par le biais de phishing, d'ingénierie sociale, ou de violations de données.
2. Contacter le fournisseur : En utilisant ces informations, l'attaquant appelle le fournisseur de télécommunications de la victime, prétendant être la victime, et demande un remplacement de carte SIM.
3. Approbation du transfert : Le fournisseur est dupé et transfère le numéro de la victime à une nouvelle carte SIM contrôlée par l'attaquant.
4. Interception : Une fois le transfert terminé, l'attaquant obtient l'accès aux appels, aux messages, et aux mots de passe à usage unique (OTP) basés sur SMS, lui permettant de contourner les mesures de sécurité pour les comptes bancaires, les emails, et autres services sensibles.

Les attaques de swapping de carte SIM sont en hausse, causant des dommages financiers importants. En 2023 seulement, le FBI a enquêté sur 1 075 incidents de swapping de carte SIM, entraînant une perte de 48 millions de dollars. En savoir plus

Bots d'appel vocal#

Les bots vocaux utilisent des techniques d'ingénierie sociale avancées pour tromper les victimes et leur faire révéler leurs OTP (mots de passe à usage unique). Ces bots sont équipés de scripts linguistiques préétablis et d'options vocales personnalisables, leur permettant d'imiter les centres d'appel légitimes. En prétendant être des entités de confiance, ils manipulent les victimes pour qu'elles divulguent des codes sensibles par téléphone. Voici comment cela fonctionne :

1. Le bot passe l'appel : Le bot contacte la victime, prétendant être de sa banque ou d'un fournisseur de services. Il informe la victime d'une "activité suspecte" détectée sur son compte pour créer de l'urgence et de la peur.
2. Demande de vérification d'identité : Le bot demande à la victime de "vérifier son identité" pour sécuriser son compte. Cela se fait en demandant à la victime de saisir son OTP (envoyé par le vrai fournisseur de services) par téléphone.
3. Brèche de compte immédiate : Une fois que la victime fournit l'OTP, l'attaquant l'utilise en quelques secondes pour accéder au compte de la victime, volant souvent de l'argent ou des données sensibles.

La plateforme Telegram est fréquemment utilisée par les cybercriminels soit pour créer et gérer des bots, soit pour fonctionner comme un canal de support client pour leurs opérations. Un exemple de ce type est BloodOTPbot, un bot basé sur SMS capable de générer des appels automatisés imitant le service client d'une banque.

Attaques SS7#

SS7 (Signaling System 7) est un protocole de télécommunications crucial pour le routage des appels, des SMS, et du roaming. Cependant, il présente des vulnérabilités que les pirates peuvent exploiter pour intercepter des SMS, y compris les mots de passe à usage unique (OTP), et contourner l'authentification à deux facteurs (2FA). Bien que complexes, ces attaques ont été utilisées dans des cybercrimes majeurs pour voler des données et de l'argent. Cela met en évidence la nécessité de remplacer les OTP basés sur SMS par des options plus sécurisées comme les authentificateurs basés sur applications ou les tokens matériels.

Comment arrêter les attaques de bots OTP ?#

Les attaques de bots OTP deviennent de plus en plus efficaces et répandues. La valeur croissante des comptes en ligne, y compris les comptes financiers, les portefeuilles de cryptomonnaies, et les profils de médias sociaux, en fait des cibles lucratives pour les cybercriminels. De plus, l'automatisation des attaques grâce à des outils comme les bots basés sur Telegram a rendu ces menaces plus accessibles, même aux hackers amateurs. Enfin, de nombreux utilisateurs placent une confiance aveugle dans les systèmes de MFA, sous-estimant souvent à quel point les OTP peuvent être exploités.

Ainsi, protéger votre organisation contre les bots OTP nécessite de renforcer votre sécurité dans plusieurs domaines clés.

Renforcer la sécurité de l'authentification principale#

Accéder à un compte utilisateur nécessite de surmonter plusieurs couches de protection, ce qui rend la première couche d'authentification critique. Comme mentionné précédemment, les mots de passe seuls sont très vulnérables aux attaques de bots OTP.

• Utilisez la connexion sociale ou le SSO d'entreprise : Utilisez des fournisseurs d'identité (IdP) tiers sécurisés pour l'authentification principale, tels que Google, Microsoft, Apple pour la connexion sociale, ou Okta, Google Workspace, et Microsoft Entra ID pour le SSO. Ces méthodes sans mot de passe offrent une alternative plus sûre aux mots de passe que les attaquants peuvent facilement exploiter.
• Implémentez des CAPTCHA et des outils de détection de bots : Protégez votre système en déployant des solutions de détection de bots pour bloquer les tentatives d'accès automatisées.
• Renforcer la gestion des mots de passe : Si les mots de passe restent utilisés, appliquez des politiques de mots de passe plus strictes politiques de mot de passe, encouragez les utilisateurs à adopter des gestionnaires de mots de passe (par exemple, Google Password Manager ou iCloud Passwords), et exigez des mises à jour périodiques des mots de passe pour une sécurité renforcée.

Appliquer une authentification multi-facteurs plus intelligente#

Lorsque la première ligne de défense est franchie, la deuxième couche de vérification devient critique.

• Passez à l'authentification basée sur le matériel : Remplacez les OTP par SMS par des clés de sécurité (comme YubiKey) ou des clefs de passe suivant la norme FIDO2. Celles-ci nécessitent la possession physique, ce qui les rend résistantes au phishing, au swapping de carte SIM, et aux attaques de type "man-in-the-middle", offrant une couche de sécurité bien plus forte.
• Implémentez une MFA adaptative : La MFA adaptative analyse en continu des facteurs contextuels tels que l'emplacement de l'utilisateur, l'appareil, le comportement du réseau, et les schémas de connexion. Par exemple, si une tentative de connexion est effectuée à partir d'un appareil non reconnu ou d'un emplacement géographique inhabituel, le système peut demander automatiquement des étapes supplémentaires, comme répondre à une question de sécurité, ou vérifier l'identité par une authentification biométrique.

Éducation des utilisateurs#

Les humains restent le maillon le plus faible, il faut donc faire de l'éducation une priorité.

• Utilisez une image de marque claire et des URL pour minimiser les risques de phishing.
• Formez les utilisateurs et les employés à reconnaître les tentatives de phishing et les applications malveillantes. Rappelez régulièrement aux utilisateurs d'éviter de partager les OTP par des appels vocaux ou des pages de phishing, peu importe leur apparence convaincante.
• Lorsque des activités de compte anormales sont détectées, alertez rapidement les administrateurs ou terminez le processus de manière programmatique. Les journaux d'audit et les webhooks peuvent faciliter ce processus.

Repenser l'authentification avec des outils dédiés#

Implémenter un système de gestion d'identité en interne est coûteux et exige beaucoup de ressources. Au lieu de cela, les entreprises peuvent protéger les comptes utilisateurs plus efficacement en s'associant à des services d'authentification professionnels.

Des solutions comme Logto offrent une combinaison puissante de flexibilité et de sécurité robuste. Avec des fonctionnalités adaptatives et des options d'intégration faciles, Logto aide les organisations à rester en avance sur les menaces de sécurité évolutives comme les bots OTP. C'est aussi un choix économique pour échelonner la sécurité au fur et à mesure que votre entreprise se développe.

Découvrez toute la gamme de capacités de Logto, y compris Logto Cloud et Logto OSS, en visitant le site Web de Logto :