Propriétaires d’appareils Apple, considérez-vous prévenus : une campagne de bombardement ciblée de l’authentification multi-factorielle est en cours, avec pour objectif d’épuiser les utilisateurs d’iDevices en les incitant à autoriser une réinitialisation de mot de passe non désirée. D’abord signalée sur X/Twitter par l’entrepreneur en intelligence artificielle Parth Patel – et confirmée par le blogueur en sécurité Brian Krebs – la campagne semble viser des individus spécifiques, inondés de demandes de réinitialisation de mot de passe. Comme les alertes sont envoyées au niveau du système, Patel a rapporté que chacune d’entre elles devait être effacée avant qu’il ne puisse utiliser son iPhone, son Apple Watch ou son MacBook. Patel a dû appuyer sur « Ne pas autoriser » plus de 100 fois sur les notifications. Plusieurs de ses amis – et d’autres victimes identifiées par Krebs – ont signalé des volumes similaires. L’attaque est similaire à d’autres attaques de fatigue d’authentification multi-facteurs qui ont émergé au fil des ans. Elles visent à épuiser les utilisateurs en les incitant à appuyer par erreur pour autoriser quelqu’un à changer leur mot de passe – ou à le faire pour stopper le déluge. Microsoft a même modifié le fonctionnement de ses codes d’authentification multi-facteurs en réponse à ce type d’abus. Apple n’a pas encore effectué ce genre de changement. Néanmoins, les attaquants dans ce cas étaient suffisamment sophistiqués pour aller au-delà de simplement inonder les victimes de spam.
Menu
