Les applications d’authentification comme Authy et Google Authenticator aident les utilisateurs à ajouter une deuxième couche de sécurité à leur compte, empêchant les acteurs malveillants d’accéder à leurs informations et données personnelles. La semaine dernière, Twitter a annoncé qu’il interromprait bientôt l’accès à l’authentification à deux facteurs (2FA) par SMS pour les utilisateurs qui ne sont pas abonnés au service Twitter Blue de l’entreprise. Les développeurs ont maintenant commencé à inonder l’App Store d’applications d’authentification qui demandent aux utilisateurs de payer des frais d’abonnement avant de pouvoir ajouter des comptes.
La société de sécurité Mysk prétend (via 9to5Mac ) qu’il existe plusieurs applications d’authentification similaires qui ont récemment été publiées sur l’App Store. Contrairement à Authy et Google Authenticator qui permettent aux utilisateurs de scanner des codes QR pour configurer 2FA sur leurs comptes, ces applications exigent d’abord que les utilisateurs s’inscrivent pour un essai gratuit qui se transforme en un abonnement dont le prix peut atteindre 40 $ (environ 3 300 Rs) par an..”TNGD”a pu confirmer que certaines de ces applications avec des abonnements annuels sont actuellement disponibles sur l’App Store.
L’art intemporel des authentificateurs !
Toutes ces applications d’authentification sont gratuites et proposent des achats intégrés. Vous les installez pour découvrir que vous ne pouvez scanner aucun code QR tant que vous ne vous êtes pas abonné, 40 $/an avec un essai gratuit de 3 jours. Les applications sont très similaires. 🧐#iOS #AppStore #2FA pic.twitter.com/OIW3XQZIwN— Mysk 🇨🇦🇩🇪 (@mysk_co) 19 février 2023
Dans un tweet séparé, l’entreprise avertit également qu’au moins une de ces applications d’authentification exécute une campagne publicitaire sur l’App Store, et une capture d’écran révèle qu’il s’agit de la première application à s’afficher lors de la recherche d'”authentificateur”.. Selon Mysk, cette application envoie le contenu du code QR scanné au service Google Analytics du développeur. Cela pourrait entraîner la fuite des codes 2FA des utilisateurs vers le développeur de l’application.
Un enregistrement d’écran partagé par Mysk montre plusieurs applications conçues de manière similaire avec des interfaces très similaires et invite à souscrire à un forfait annuel de 40 $/an. Le développeur Kevin Archer affirme que ces applications sont publiées avec différents ensembles de métadonnées sur les nouveaux comptes, et semblent ont contourné les consignes appliquées par l’équipe d’examen des applications, y compris directive 5.6.3 (Discovery Fraud), qui ne permet pas de manipuler les graphiques, la recherche, les avis ou les références d’applications de l’App Store.
Selon un capture d’écran publiée par la société, de nombreuses applications ont été publiées la semaine dernière, soit à peu près au même moment où Twitter, qui a récemment été repris par Elon Musk, a annoncé qu’il supprimait la prise en charge de la 2FA par SMS pour les utilisateurs qui ne sont pas abonnés à son service Twitter Blue. Les utilisateurs qui avaient configuré leur compte pour recevoir des codes de connexion par SMS ont jusqu’en mars pour le désactiver et configurer des applications 2FA tierces ou des clés de sécurité matérielles pour se connecter en toute sécurité à leurs comptes.
L’existence de ces applications sur l’App Store signifie que les utilisateurs qui cherchent à télécharger des applications 2FA sur l’App Store pourraient finir par télécharger l’une de ces applications, mettant leur sécurité en danger. Applications telles que Google Authenticator, Authy, Aegis Authenticator (Android) et Microsoft Authenticator sont des options sécurisées et fiables d’entreprises réputées qui peuvent être utilisées pour stocker des jetons d’authentification 2FA à la place.
Des liens d’affiliation peuvent être générés automatiquement-consultez notre déclaration d’éthique pour plus de détails.
Pour plus de détails sur les derniers lancements et nouvelles de Samsung, Xiaomi, Realme, OnePlus, Oppo et d’autres sociétés au Mobile World Congress à Barcelone, visitez notre hub MWC 2023.