Avez-vous déjà remarqué combien votre numéro de téléphone est étroitement lié à votre identité de nos jours ? Nous utilisons nos numéros pour échanger des coordonnées, parler et envoyer des SMS, et confirmer et authentifier qui nous sommes en ligne. Considérez le nombre d’applications que vous avez et qui vous obligent maintenant à " améliorer " votre sécurité en utilisant une authentification à deux facteurs basée sur les SMS.
Voici le problème : les numéros de téléphone n’ont jamais été destinés à être autre chose que des identifiants d’utilisateur pour le réseau téléphonique. De nombreux aspects de notre vie numérique dépendent désormais de nos numéros de téléphone portable. Nous tirons de nombreux avantages de cet arrangement : le confort, la simplicité et - soi-disant - la sécurité. Mais il y a des risques et des dangers cruciaux dont vous devez être conscient avant de lier votre numéro de téléphone à votre identité en ligne.
Problèmes de sécurité des SMS
Lorsque vous créez un compte en utilisant votre numéro de téléphone, ou que vous ajoutez votre numéro pour configurer une authentification à deux facteurs, vous obtenez un SMS avec un code de vérification. Nous connaissons tous la procédure : Tapez votre numéro de portable, attendez quelques secondes, tapez le code d’authentification à six chiffres et c’est parti.
Mais saviez-vous que le système qui délivre ces codes est étonnamment peu sûr ?
Les messages SMS (texte) font partie de la norme de télécommunication GSM. Le GSM a été déployé pour la première fois au début des années 1990, ce qui lui vaut presque vingt ans d’existence ! Cette vénérable norme de communication a étonnamment bien résisté, compte tenu de la rapidité avec laquelle les normes et les protocoles deviennent obsolètes dans le monde de la technologie en évolution rapide.
Cependant, le GSM présente de sérieuses vulnérabilités qui affectent la sécurité des SMS.
Le trafic de données GSM entre un téléphone mobile et un fournisseur de services est chiffré à l’aide des algorithmes de chiffrement par flux A5/1 et A5/2, et de l’algorithme de chiffrement par bloc A5/3.
Le chiffrement en continu transforme chaque caractère d’un message en un autre caractère aléatoire, et le périphérique de réception utilise une clé spéciale pour inverser ce processus.
Les chiffrages par blocs font la même chose, mais avec des blocs entiers d’informations plutôt qu’un caractère à la fois, ce qui leur permet d’utiliser un chiffrement plus complexe pour chaque bloc d’informations chiffrées.
Cela semble très bien - sauf que les formats A5/1 et A5/2 ont été développés à la fin des années 1980, et que le format A5/3 a été développé à la fin des années 1990. Depuis lors, les pirates ont démontré un certain nombre de façons de briser ces trois algorithmes. Le A5/2, beaucoup moins sûr, a depuis été retiré, mais les A5/1 et A5/3 sont toujours vulnérables à un certain nombre d’attaques qui permettent aux gens d’intercepter et de lire les messages SMS avant qu’ils n’atteignent votre téléphone.
Qu’est-ce que cela signifie pour vous ?
Tous vos comptes qui reposent sur une authentification à deux facteurs basée sur les SMS utilisent un protocole de communication vieux de vingt ans, sécurisé par des systèmes de chiffrement non sécurisés vieux de vingt et trente ans, pour empêcher les gens d’accéder à vos renseignements personnels.
Ouais. On va le dire. Ce n’est plus suffisant.
SIM swapping
Donc nous savons que le SMS n’est pas le protocole le plus sûr au monde. Et alors ? Il faut quand même de sérieuses connaissances techniques et des compétences pour pirater vos messages texte - n’est-ce pas ?
Pas exactement.
Parfois, pirater votre compte est aussi simple que de savoir qui appeler.
La façon la plus simple pour quelqu’un d’accéder à votre numéro de téléphone mobile n’implique pas de mettre en route une ligne de commande et de pirater comme un fou. Au lieu de cela, les attaquants exploitent le maillon le plus faible de ces scénarios de sécurité : les personnes.
Le mot de passe de compte le plus sûr au monde ne sert à rien si quelqu’un peut vous convaincre - ou convaincre la société qui gère votre compte - de le donner. Les personnes qui essaient d’accéder à vos comptes peuvent contacter le compte ou le fournisseur de services et convaincre l’entreprise qu’elles sont vous. L’entreprise donne alors à l’attaquant l’accès à votre compte - c’est « vous », après tout. Cette tactique, ou ingénierie sociale, est le premier outil (et souvent le plus fiable) dans la boîte à outils de tout pirate informatique.
L’ingénierie sociale peut être utilisée pour toutes sortes de choses, qui vont de l’inoffensif au néfaste. Le célèbre - et notoire - chercheur en sécurité Kevin Mitnick a utilisé l’ingénierie sociale pour obtenir des trajets illimités en bus à Los Angeles en convainquant un chauffeur de bus de lui dire où il pouvait obtenir une machine à cartes perforées (utilisée pour valider les tickets de bus). Mitnick n’avait que 12 ans à l’époque. Dans un cas moins amusant, les frères Badir - trois frères israéliens aveugles de naissance - ont monté une arnaque téléphonique qui a duré six ans et qui a rapporté plus de 2 millions de dollars américains, tout cela en convainquant leurs victimes qu’ils étaient opérateurs dans une compagnie de téléphone interurbaine inexistante.
Lorsqu’il s’agit de téléphones portables, il est souvent beaucoup plus facile que vous ne le pensez de détourner un numéro de téléphone en utilisant l’ingénierie sociale. Ce type de détournement est appelé une attaque par échange de cartes SIM. Voici comment cela fonctionne.
D’abord, un acteur malveillant met une carte SIM vierge dans un téléphone prépayé.
Il appelle votre fournisseur de services mobiles et lui fait croire qu’il est vous, par une combinaison de mensonges et de manipulation - l’ingénierie sociale.
Votre fournisseur de services mobiles transfère ensuite votre numéro de téléphone mobile sur la carte SIM vierge de l’agresseur. Maintenant, tous vos SMS et appels - y compris les codes d’authentification à 2 facteurs - sont envoyés directement sur le téléphone de l’attaquant. Un accès instantané à vos e-mails, vos comptes bancaires, vos données cloud et même vos playlists !
Les fournisseurs de services mobiles ont déjà mis en place des protocoles permettant de transférer rapidement et facilement un numéro d’une SIM à l’autre. Ces systèmes de transfert existent pour qu’en cas de perte de votre téléphone (ou de votre SIM), vous puissiez rapidement vous remettre en marche en utilisant une nouvelle SIM.
Les numéros recyclés
L’échange de cartes SIM est un énorme problème de sécurité - avec un seul appel téléphonique, votre numéro peut se retrouver dans les mains de quelqu’un d’autre. Mais il arrive que des numéros de téléphone changent de mains sans que personne ne fasse quoi que ce soit de malveillant. Avez-vous déjà reçu un message texte de quelqu’un qui vous prenait pour quelqu’un d’autre ? Il est probable que cette personne ait été victime du " recyclage " des numéros de téléphone.
Les fournisseurs de téléphonie résilient régulièrement les numéros de téléphone mobile inactifs, remettant ainsi ces numéros dans le pool de numéros pouvant être donnés à de nouveaux comptes. Parfois, ce délai de recyclage peut être de seulement 90 jours - ce qui signifie que si vous ne payez pas votre facture de téléphone ou ne montrez pas d’activité sur votre compte dans les 90 jours, le fournisseur pourrait recycler votre numéro et le remettre à un nouveau client.
Le recyclage des numéros peut mener à des situations embarrassantes : toute personne essayant de vous contacter sur ce numéro finira par envoyer un message texte à un étranger. Mais pire encore, si le nouveau propriétaire de votre numéro essaie de l’utiliser pour créer un compte avec une application ou un site Web auquel vous avez déjà lié le numéro, le nouveau propriétaire pourrait finir par avoir accès à votre compte existant - vos informations privées pourraient être complètement compromises par accident !
Doxxing
Donc, nous savons que les SMS sont vieux, peu sûrs, vulnérables et même piratables par accident. Mais il y a pire. Il y a un danger très simple et très réel à lier votre vie en ligne à votre numéro de téléphone : les numéros de téléphone (dans la plupart des pays, du moins) sont un lien concret entre vos personnalités en ligne et votre identité dans le monde réel.
Si vous utilisez un service qui utilise des numéros de téléphone comme noms d’utilisateur ou de connexion, vous devez donner votre numéro de téléphone aux gens pour qu’ils puissent vous contacter par le biais de ce service. Cela signifie que les personnes que vous ajoutez à ces services peuvent vous appeler et vous envoyer des messages texte. Pire encore, ils peuvent même utiliser votre numéro de téléphone pour connaître votre vrai nom et votre adresse grâce à une forme de harcèlement sur Internet appelée doxxing.
Doxxing " est un terme fourre-tout qui désigne un large éventail d’approches et d’attaques, mais elles ont toutes une chose en commun : le but du doxxing est d’identifier des informations réelles vous concernant, qui peuvent ensuite être utilisées à d’autres fins malveillantes comme l’escroquerie ou même le harcèlement réel.
Le doxxing peut être incroyablement facile - si facile que n’importe qui, et pas seulement les pirates informatiques malveillants, peuvent le faire. Les services de recherche de numéros de téléphone inversés permettent à quelqu’un de taper votre numéro de téléphone et de trouver votre vrai nom et votre adresse physique. Même une simple recherche Google de votre numéro de téléphone peut révéler des profils de réseaux sociaux, des photos, des messages et plus encore - les gens peuvent trouver des trésors d’informations sur vous en utilisant seulement votre numéro de téléphone.
Les choses peuvent être encore pires si un attaquant ajoute un peu d’ingénierie sociale dans le mélange. Une fois qu’il a trouvé vos profils sur les réseaux sociaux, il peut commencer à cibler vos amis, à créer de faux comptes pour les contacter et en savoir plus sur vous par le biais de mensonges et de manipulations.
Une fois que vous avez utilisé votre numéro de téléphone pour vous identifier en ligne, ce compte (ou service, ou application) est inextricablement lié à votre véritable identité - ce qui peut avoir de graves répercussions sur votre vie privée en ligne.
Alors, que puis-je faire ?
En bref, n’utilisez rien qui vous oblige à abandonner ou à utiliser votre numéro de téléphone comme identifiant. De plus, nous avons compris - que ce n’est pas facile quand la plupart des applications le font encore. La plupart.
Les numéros de téléphone sont désuets et peu sûrs. L’utilisation d’un numéro de téléphone pour sécuriser votre vie en ligne donne aux personnes malveillantes une douzaine de portes différentes sur votre identité numérique. Et grâce au recyclage des numéros, quelqu’un d’autre pourrait avoir accès à vos comptes totalement par accident !
Il est temps pour nous de trouver de meilleurs moyens de sécuriser notre vie numérique. Les applications mobiles d’authentification à deux facteurs comme Authy et LastPass Authenticator sont un pas dans la bonne direction - mais même dans ce cas, si quelqu’un met la main sur l’appareil qui contient votre application d’authentification, vous pourriez avoir des problèmes.
Ouf, c’est beaucoup ! La meilleure solution est de garder vos comptes en ligne complètement séparés de votre véritable identité - pas de lien avec votre numéro de téléphone quand vous le pouvez ! Les applications comme Session ignorent complètement les numéros de téléphone.
En vous tenant à l’écart des applications et des services qui nécessitent un numéro de téléphone, vous vous assurez que votre vie en ligne et mobile est vraiment sécurisée - avec moins de risques que quelqu’un envahisse votre vie privée en piratant, en échangeant des cartes SIM, en recyclant des numéros ou par doxxing.
source :