De nombreux services en ligne permettent aux utilisateurs de réinitialiser leur mot de passe en cliquant sur un lien envoyé par SMS, et cette pratique malheureusement répandue a transformé les numéros de téléphone portable en documents d’identité de facto. Ce qui signifie que perdre le contrôle d’une personne à la suite d’un divorce, d’un licenciement ou d’une crise financière peut être dévastateur.
Même ainsi, de nombreuses personnes abandonnent volontairement un numéro de mobile sans tenir compte des retombées potentielles sur leur identité numérique lorsque ces chiffres sont invariablement réaffectés à quelqu’un d’autre. De nouvelles recherches montrent comment les fraudeurs peuvent abuser des sites Web des fournisseurs de services sans fil pour identifier les numéros de téléphone portables disponibles et recyclés qui permettent de réinitialiser les mots de passe sur une gamme de fournisseurs de messagerie et de services financiers en ligne.
Des chercheurs du département d’informatique de université de Princeton disent avoir échantillonné 259 numéros de téléphone chez deux grands opérateurs de téléphonie mobile et découvert que 171 d’entre eux étaient liés à des comptes existants sur des sites Web populaires, permettant potentiellement à ces comptes d’être piratés.
L’équipe de Princeton a en outre découvert que 100 de ces 259 numéros étaient liés à des informations d’identification de connexion divulguées sur le Web, ce qui pourrait permettre des détournements de compte qui déjouent l’authentification multifacteur par SMS.
« Notre principale conclusion est que les attaquants peuvent tirer parti du recyclage des numéros pour cibler les anciens propriétaires et leurs comptes », ont écrit les chercheurs. « Les taux de succès modérés à élevés de nos méthodes de test indiquent que la plupart des numéros recyclés sont vulnérables à ces attaques. De plus, en se concentrant sur des blocs de numéros probablement recyclés, un attaquant peut facilement découvrir les numéros recyclés disponibles, chacun d’entre eux devenant alors une cible potentielle.
Les chercheurs ont localisé des numéros de téléphone portable nouvellement recyclés en parcourant les numéros mis à la disposition des clients souhaitant s’inscrire à un compte prépayé sur T Mobile ou Verizon (Apparemment AT&T ne fournit pas une interface similaire). Ils ont dit qu’ils étaient capables d’identifier et d’ignorer de grands blocs de nouveaux numéros inutilisés, car ces blocs ont tendance à être mis à disposition consécutivement – tout comme l’argent nouvellement imprimé est numéroté consécutivement en piles.
L’équipe de Princeton a un certain nombre de recommandations pour T-Mobile et Verizon, notant que les deux opérateurs autorisent des demandes de renseignements illimitées sur leurs plates-formes client prépayées en ligne, ce qui signifie que rien n’empêche les attaquants d’automatiser ce type de reconnaissance de numéro.
« Sur les interfaces postpayées, Verizon dispose déjà de garanties et T-Mobile ne prend même pas en charge les changements de numéros en ligne », ont écrit les chercheurs. « Cependant, le pool de numéros est partagé entre les services postpayés et prépayés, ce qui rend tous les abonnés vulnérables aux attaques. »
Ils recommandent également aux opérateurs d’enseigner à leurs employés d’assistance à rappeler aux clients les risques de renoncer à un numéro de téléphone mobile sans le déconnecter au préalable d’autres identités et sites en ligne, des conseils qu’ils n’ont généralement pas trouvés ont été proposés lors de l’interaction avec l’assistance client concernant les changements de numéro.
De plus, les opérateurs pourraient offrir leur propre service de « numéro de stationnement » pour les clients qui savent qu’ils n’auront pas besoin d’un service téléphonique pendant une période prolongée, ou pour ceux qui ne savent tout simplement pas ce qu’ils veulent faire avec un numéro. De tels services sont déjà offerts par des entreprises comme NombreGrange et Garer mon téléphoneet ils coûtent généralement entre 2 et 5 $ par mois.
L’étude de Princeton recommande aux consommateurs qui envisagent de changer de numéro de stocker les chiffres dans un service de stationnement de numéro existant ou de « porter » le numéro vers quelque chose comme la voix de Google. Pour des frais uniques de 20 $, Google Voice vous permettra de transférer le numéro, puis vous pourrez continuer à recevoir des SMS et des appels vers ce numéro via Google Voice, ou vous pourrez les transférer vers un autre numéro.
Le portage semble moins compliqué et potentiellement plus sûr compte tenu l’utilisateur moyen a quelque chose comme 150 comptes en ligneet un nombre important de ces comptes seront liés à son numéro de mobile.
Pendant que vous y êtes, envisagez de supprimer votre numéro de téléphone en tant que mécanisme d’authentification principal ou secondaire dans la mesure du possible. De nombreux services en ligne exigent que vous fournissiez un numéro de téléphone lors de l’enregistrement d’un compte, mais dans de nombreux cas, ce numéro peut être supprimé de votre profil par la suite.
Il est également important que les gens utilisent autre chose que des messages texte pour l’authentification à deux facteurs sur leurs comptes de messagerie lorsque des options d’authentification plus solides sont disponibles. Envisagez plutôt d’utiliser une application mobile comme Authy, Duoou Authentificateur Google pour générer le code à usage unique. Ou mieux encore, une clé de sécurité physique si c’est une option.
L’étude complète de Princeton est disponible ici (PDF).