Les robots OTP ciblent les systèmes de mot de passe à usage unique pour pirater vos comptes. Voici comment vous défendre contre eux.
Les mots de passe à usage unique (OTP) ne sont peut-être pas aussi sécurisés qu’il y paraît, car l’augmentation du nombre de robots OTP jette une ombre sur ce qui devrait être une fonctionnalité de sécurité importante. Compte tenu de leur fréquence, la prévalence croissante des robots OTP ciblant ces systèmes est d’autant plus préoccupante. Voici tout ce que vous devez savoir à leur sujet pour vous protéger de cette menace.
Que sont les mots de passe à usage unique?
Pour comprendre les robots OTP, vous devez d'abord comprendre les OTP eux-mêmes. Comme son nom l'indique, un mot de passe à usage unique est un code de connexion temporaire que vous obtenez après avoir saisi d'autres informations d'identification telles que votre adresse e-mail et votre mot de passe. Ils ne durent généralement que 30 à 60 secondes avant de ne plus accorder l’accès à un compte.
L’idée ici est d’arrêter les personnes qui pourraient avoir volé, deviné ou forcé votre mot de passe. En envoyant un code à usage unique par appel, SMS ou application mobile dédiée, le service garantit que la personne qui se connecte a également accès à un appareil de confiance. Voler un mot de passe est relativement simple, mais il est peu probable qu’un criminel ait votre mot de passe et votre téléphone.
Comment fonctionnent les robots OTP?
Les OTP sont devenus si courants que certains téléphones supprimez désormais automatiquement ces codes de vérification vider la boîte de réception. Même si cela devrait signifier que vos comptes en ligne sont plus sécurisés que jamais, cela fait des systèmes OTP eux-mêmes une cible pour les cybercriminels. Les robots OTP ciblent ces systèmes de deux manières.
La première et la plus courante façon dont fonctionnent les robots OTP consiste à inciter les utilisateurs à révéler leurs codes à usage unique. Pour ce faire, ils usurpent souvent l’identité du service auquel ils tentent de se connecter. Imaginez qu'un cybercriminel tente de se connecter à votre compte bancaire en ligne. Lorsqu'ils saisissent vos informations d'identification, un robot vous envoie un SMS, un e-mail ou vous appelle, se faisant passer pour la banque qui vous demande votre code.
Étant donné que les robots agissent immédiatement, cette demande doit arriver en même temps que le message contenant votre code, afin qu'elle ne semble pas suspecte. Vous pouvez alors répondre avec l'OTP, en l'envoyant accidentellement au pirate informatique, qui peut ensuite l'utiliser pour accéder à votre compte.
L’autre façon dont fonctionnent les robots OTP consiste à intercepter le message OTP avant qu’il ne vous parvienne. En cas de succès, cette méthode est peut-être moins susceptible de déclencher des alarmes, mais elle est plus difficile à mettre en œuvre. Il y a une raison pour laquelle Rapport annuel d'enquête sur les violations de données de Verizon a constaté que la plupart des attaques impliquent un élément humain – les personnes constituent souvent le maillon le plus faible.
Comment se défendre contre les robots OTP
Les attaques de robots OTP sont alarmantes, mais vous pouvez les arrêter. N'oubliez pas de toujours vérifier avant de faire confiance à quoi que ce soit et de ne pas répondre aux demandes non sollicitées.
Dans ce contexte, cela signifie vérifier auprès de votre banque ou d’un autre service pour voir s’ils vous contactent à propos des OTP sans action de votre part. La plupart ne le font pas, il est donc généralement préférable de ne pas répondre à une demande OTP si vous n’avez pas essayé de vous connecter à quoi que ce soit.
Si disponible, vous devriez activer les fonctionnalités MFA résistantes au phishing, bien que ceux-ci ne soient pas encore courants. La MFA résistante au phishing supprime l’élément humain de l’équation, utilisant plutôt la cryptographie et l’authentification des appareils pour vérifier les tentatives de connexion. De cette façon, vous saurez que toutes les demandes OTP sont des escroqueries, car le service réel ne les utilisera pas.
Même lorsque ce type de MFA n’est pas disponible, vous pourrez peut-être activer des facteurs d’identification autres que les OTP. La biométrie comme la reconnaissance faciale ou la numérisation d’empreintes digitales est une excellente option. Même s'il est possible de contourner l'authentification biométrique, il s’agit d’une attaque hautement technique et moins courante que les attaques axées sur les mots de passe. Ces facteurs restent donc plus sûrs que les OTP.
Enfin, soyez toujours à l’affût des activités suspectes. Si vous recevez un avis concernant une tentative de connexion dont vous ne vous souvenez pas ou dont vous savez que ce n'était pas vous, contactez immédiatement le service en question. De même, modifiez vos mots de passe et contactez l’entreprise si vous remarquez une activité sur des comptes dont vous ne vous souvenez pas. Agir rapidement est la clé pour arrêter les attaques avant qu’elles ne causent beaucoup de dégâts.
La sensibilisation est le premier pas vers la sécurité
Se renseigner sur les robots OTP est la première étape pour se protéger contre eux. Lorsque vous saurez à quoi faire attention, vous comprendrez comment rester en sécurité.
N'oubliez pas qu'aucun système de sécurité n'est fiable à 100 %. Les OTP et autres méthodes MFA sont un élément crucial d’une bonne cybersécurité, mais ils ne sont pas parfaits. Par conséquent, vous devez toujours aborder les choses avec prudence et surveiller toute activité suspecte.