• Home
  • Akku Tipps

  • La double authentification a-t-elle atteint sa limite ? C’est en tout cas la question que pose une récente étude menée par des chercheurs de l’université de Stony Brook. Ces derniers ont découvert pas moins de 1200 kits de piratage en libre accès sur Internet, permettant de contourner cette mesure de sécurité pourtant autrefois considérée comme imparable.

    Lorsqu’elle est arrivée auprès du grand public, la double authentification a été présentée comme la solution à — presque — tous les problèmes du web. À l’aide d’un simple SMS envoyé sur le téléphone de l’utilisateur ou d’un code sur son adresse mail, le dispositif a mis un énorme bâton dans les roues des pirates. Finie l’époque où il suffisait de récupérer un mot de passe pour avoir accès à un compte. Il faut désormais également obtenir ce précieux sésame qui, bien souvent, parvient à rester confidentiel.

    Avec le temps, des méthodes pour contourner cet obstacle imposant ont bien évidemment vu le jour. Cette année, un dangereux malware bancaire capable d’espionner les SMS de ses victimes, pour ne citer que lui, a fait trembler les chercheurs en cybersécurité. Mais jusqu’à maintenant, ces techniques sont restées relativement confidentielles. Jusqu’à maintenant. En effet, une étude de l’université de Stony Brook, en partenariat avec Palo Alto Networks, démontre que ces outils se démocratisent de plus en plus.

    LA DOUBLE AUTHENTIFICATION BIENTÔT INUTILE ?
    Ainsi, il est beaucoup moins difficile qu’avant de mettre la main sur un kit de piratage, le plus souvent mis en vente par des individus malintentionnés. Là où il fallait autrefois explorer le dark web pour trouver de tels outils, ces derniers s’exposent désormais sans gêne sur Internet. Ces kits permettent, sans effort ou presque, de subtiliser le cookie d’authentification créé par le dispositif de sécurité et sauvegardé par le navigateur.

    Sur le même sujet : Apple veut rendre la double authentification plus sûre avec des SMS liés à un domaine

    Il existe deux moyens pour réaliser cet exploit. Le pirate peut, au choix, infiltrer l’appareil de sa victime avec un malware capable de voler les données souhaitées, ou bien lancer une attaque de type homme du milieu pour intercepter l’information avant qu’elle n’arrive auprès du site concerné. Selon les chercheurs, ces kits sont efficaces sur la plupart des plus gros sites et applications. Ils en ont compté pas moins de 1200 au cours de leur étude.

    Comme dit plus tôt, les pirates peuvent déjà depuis plusieurs années contourner la double authentification. En revanche, une telle distribution des kits de piratage, qui plus est avec une telle simplicité d’obtention, a de quoi inquiéter les chercheurs. À l’image d’Instagram qui a récemment activé le dispositif, les prochains sites et applications rejoignant le mouvement pourraient bien le faire avec un certain train de retard.

La double authentification a-t-elle atteint sa limite ? C’est en tout cas la question que pose une récente étude menée par des chercheurs de l’université de Stony Brook. Ces derniers ont découvert pas moins de 1200 kits de piratage en libre accès sur Internet, permettant de contourner cette mesure de sécurité pourtant autrefois considérée comme imparable.

Lorsqu’elle est arrivée auprès du grand public, la double authentification a été présentée comme la solution à — presque — tous les problèmes du web. À l’aide d’un simple SMS envoyé sur le téléphone de l’utilisateur ou d’un code sur son adresse mail, le dispositif a mis un énorme bâton dans les roues des pirates. Finie l’époque où il suffisait de récupérer un mot de passe pour avoir accès à un compte. Il faut désormais également obtenir ce précieux sésame qui, bien souvent, parvient à rester confidentiel.

Avec le temps, des méthodes pour contourner cet obstacle imposant ont bien évidemment vu le jour. Cette année, un dangereux malware bancaire capable d’espionner les SMS de ses victimes, pour ne citer que lui, a fait trembler les chercheurs en cybersécurité. Mais jusqu’à maintenant, ces techniques sont restées relativement confidentielles. Jusqu’à maintenant. En effet, une étude de l’université de Stony Brook, en partenariat avec Palo Alto Networks, démontre que ces outils se démocratisent de plus en plus.

LA DOUBLE AUTHENTIFICATION BIENTÔT INUTILE ?
Ainsi, il est beaucoup moins difficile qu’avant de mettre la main sur un kit de piratage, le plus souvent mis en vente par des individus malintentionnés. Là où il fallait autrefois explorer le dark web pour trouver de tels outils, ces derniers s’exposent désormais sans gêne sur Internet. Ces kits permettent, sans effort ou presque, de subtiliser le cookie d’authentification créé par le dispositif de sécurité et sauvegardé par le navigateur.

Sur le même sujet : Apple veut rendre la double authentification plus sûre avec des SMS liés à un domaine

Il existe deux moyens pour réaliser cet exploit. Le pirate peut, au choix, infiltrer l’appareil de sa victime avec un malware capable de voler les données souhaitées, ou bien lancer une attaque de type homme du milieu pour intercepter l’information avant qu’elle n’arrive auprès du site concerné. Selon les chercheurs, ces kits sont efficaces sur la plupart des plus gros sites et applications. Ils en ont compté pas moins de 1200 au cours de leur étude.

Comme dit plus tôt, les pirates peuvent déjà depuis plusieurs années contourner la double authentification. En revanche, une telle distribution des kits de piratage, qui plus est avec une telle simplicité d’obtention, a de quoi inquiéter les chercheurs. À l’image d’Instagram qui a récemment activé le dispositif, les prochains sites et applications rejoignant le mouvement pourraient bien le faire avec un certain train de retard.

A former TikTok moderator is suing the company, claiming it failed to protect her mental health after "constant" exposure to traumatic video content.

Candie Frazier says she reviewed videos that featured "extreme and graphic violence" for up to 12 hours a day.

She says she suffers from "significant psychological trauma", including anxiety, depression, and post-traumatic stress disorder.

TikTok says it strives to promote "a caring working environment".

In September TikTok announced 1 billion people were using the app each month. It now has more hits than Google, according to Cloudflare, an IT security company.

To protect its users, the video-sharing platform uses thousands of in-house and contract content moderators to filter out videos and accounts that break its rules.

Ms Frazier is suing both TikTok and its parent company, Chinese tech-giant Bytedance.

She claims that in her role as a moderator she watched graphic content, including videos of sexual assault, cannibalism, genocide, mass shootings, child sexual abuse, and the mutilation of animals.

Ms Frazier, who worked for a third-party contractor, Telus International, says she was required to review hundreds of videos a day.

According to the lawsuit filed with a federal court in California last week, Ms Frazier suffered "significant psychological trauma, including anxiety, depression, and post-traumatic stress disorder" because of the material she was required to review.

The lawsuit claims that while she was not a TikTok employee, the social-media giant "controlled the means and manner in which content moderation occurred".

Ms Frazier alleges that in order to handle the volume of content, she was expected to review, she had to watch as many as 10 videos simultaneously.

In the lawsuit it is claimed that during a 12-hour shift moderators were permitted a 15-minute break after the first four hours of work, and then a 15-minute break every subsequent two hours. In addition there was a one-hour lunch break.

It alleges that TikTok failed to meet industry standards designed to reduce the impact of content moderation, and that the firm violated California labour law by not providing a safe work environment.

Mental support
TikTok would not comment on the "on-going" case, but the firm did say it strived to "promote a caring working environment for our employees and contractors".

The company added: "Our safety team partners with third-party firms on the critical work of helping to protect the TikTok platform and community, and we continue to expand on a range of wellness services so that moderators feel supported mentally and emotionally."

TikTok believes its measures to protect moderators are in line with industry best practice.

Last year, TikTok was among a coalition of social-media giants that created guidelines to safeguard employees who have to filter out child sex-abuse imagery.

Telus International, which is not a defendant in the case, said it had robust mental-health programmes in place and told the Washington Post, its employees could raise concerns through "several internal channels" - something it claimed Ms Frazier had not done.

The firm told the paper Ms Frazier's allegations were "entirely inconsistent with our policies and practices".

The BBC has approached Telus International for comment.

In 2020, another social-media goliath, Facebook, agreed to pay out $52m (£39m) in compensation to moderators who had developed PTSD as a result of their job.