Un gros fail chez Google, synchro des secrets 2FA entre appareils sans chiffrement de bout en bout.

Retour d'expérience de Cloudflare qui a été ciblé par un fishing très sophistiqué.

La page de fishing demandait également les codes TOTP reçu par SMS et les transmettaient en temps réel à l'attaquant pour lui permettre de se loguer.

L'attaque n'a pas fonctionné car les employés de Cloudflare ont une clé d'authentification Yubikey physique.

C'est aussi ce qu'utilise Google pour ses employés, ils n'ont plus de fishing réussi depuis.

J'en ait personnellement une pour accéder à mes comptes Kraken.