Appels automatisés sans cesse ennuyeux et frauduleux. Des employés corrompus d’une entreprise de téléphonie mobile reçoivent des centaines de milliers de dollars de pots-de-vin pour déverrouiller et détourner un service de téléphonie mobile. Fournisseurs de services sans fil vendant des données de localisation des clients en temps réel, malgré les promesses répétées du contraire. Une augmentation notable des attaques par échange de carte SIM qui conduisent à des cyberattaques de plusieurs millions de dollars.
Si vous avez l’impression que vous, le client, contrôlez la sécurité, la confidentialité et l’intégrité de votre service de téléphonie mobile, détrompez-vous. Et vous seriez pardonné si vous supposiez que les principaux opérateurs de téléphonie mobile ou les régulateurs fédéraux avaient fermement la main sur le volant.
Non, une série d’affaires judiciaires récentes et de développements malheureux mettent en évidence la triste réalité selon laquelle l’industrie du sans fil a aujourd’hui pratiquement cédé le contrôle de cette ressource nationale vitale aux cybercriminels, aux escrocs, aux employés corrompus et à la cupidité des entreprises.
Mardi, Google a annoncé qu’un déluge incessant d’appels automatisés avait condamné une fonctionnalité de son la voix de Google service qui envoie des transcriptions de messages vocaux par SMS.
Google mentionné « certains transporteurs » bloquent la livraison de ces messages parce que trop souvent les transcriptions résultaient d’appels automatisés non sollicités, et qu’en conséquence la fonctionnalité serait interrompue d’ici le 9 août. Ceci est particulièrement riche étant donné que l’une des principales raisons pour lesquelles les gens utilisent Google Voice en premier lieu est de filtrer les communications indésirables des appels automatisés, principalement parce que les principaux opérateurs de téléphonie mobile se sont montrés incapables ou peu disposés à faire grand-chose pour endiguer la vague d’appels automatisés ciblant leurs clients.
AT&T en particulier a eu un mois difficile. En juillet, le Fondation de la frontière électronique (EFF) a intenté un recours collectif au nom des clients d’AT&T en Californie pour empêcher le géant des télécommunications et deux agrégateurs de localisation de données d’autoriser de nombreuses entités – y compris des chasseurs de primes, des concessionnaires automobiles, des propriétaires et des harceleurs – à accéder aux emplacements en temps réel des clients sans fil sans autorisation.
Et lundi, le Département américain de la justice révélé qu’un Pakistanais était arrêté et extradé aux États-Unis faire face à des accusations de corruption de nombreux AT&T employés du centre d’appels pour installer des logiciels malveillants et du matériel non autorisé dans le cadre d’un stratagème visant à déverrouiller frauduleusement des téléphones portables.
Ars Technica rapports l’escroquerie a entraîné le retrait de millions de téléphones du service AT&T et / ou des plans de paiement, et que l’accusé aurait payé des initiés des centaines de milliers de dollars pour aider au processus.
Nous devrions tous être reconnaissants que l’accusé dans cette affaire n’ait pas utilisé son accès considérable pour aider les criminels qui se spécialisent dans les échanges de carte SIM non autorisés, une forme de fraude extraordinairement invasive dans laquelle les escrocs soudoient ou incitent les employés des magasins de téléphonie mobile à prendre le contrôle. du numéro de téléphone de la cible et de détourner tous les SMS et appels téléphoniques vers l’appareil mobile de l’attaquant.
À la fin du mois dernier, un juge fédéral à New York a rejeté une demande d’AT&T de rejeter une poursuite de 224 millions de dollars pour un incident d’échange de carte SIM qui a conduit à 24 millions de dollars de crypto-monnaie volée.
L’accusé dans cette affaire, Nicholas Truglia, un résident de Manhattan âgé de 21 ans, aurait volé plus de 80 millions de dollars à des victimes d’échange de carte SIM, mais il n’est qu’une des nombreuses personnes impliquées dans ce stratagème incroyablement facile, de plus en plus courant et lucratif. . Le demandeur dans cette affaire allègue qu’il a été échangé par carte SIM à deux occasions différentes, toutes deux impliquant prétendument des employés tordus ou autrement ignorants dans les magasins sans fil AT&T.
Et n’oublions pas tous les fois divers pirates ont trouvé des moyens d’utiliser à distance les propres systèmes internes d’un opérateur pour rechercher des informations personnelles et de compte sur les abonnés sans fil.
Alors qu’est-ce qui se passe ici ? Et y a-t-il un espoir que les législateurs ou les régulateurs feront quelque chose à propos de ces problèmes persistants ? Gigi Sohnun homme distingué au Institut de Georgetown pour le droit et la politique de la technologiea déclaré que la réponse – du moins dans cette administration – est probablement un grand « non ».
« Le point à retenir ici est l’abdication complète et totale de toute surveillance de l’industrie du sans fil mobile », a déclaré Sohn à BreachTrace. « Nos agences d’application de la loi ne font rien sur ces sujets pour le moment, et nous avons une ventilation complète et totale de la surveillance de ces entreprises incroyablement puissantes et importantes. »
Aaron Mackeyun avocat du personnel de l’EFF, a déclaré que sur la question du partage des données de localisation, la loi fédérale interdit déjà aux opérateurs de téléphonie mobile de les partager avec des tiers sans le consentement exprès des consommateurs.
« Ce que nous avons vu, c’est Commission fédérale des communications (FCC) est bien conscient de ce comportement continu concernant les ventes de données de localisation », a déclaré Mackey. « La FCC a déclaré qu’elle faisait l’objet d’une enquête, mais aucune mesure publique n’a encore été prise et cela dure depuis plus d’un an. Les principaux opérateurs de téléphonie mobile violent non seulement la loi fédérale, mais ils mettent également les gens en danger. Il existe d’innombrables histoires de personnes capables de prétendre être des forces de l’ordre et d’avoir accès à des informations qu’elles peuvent utiliser pour agresser et harceler des personnes en fonction des opérateurs qui mettent les données de localisation à la disposition d’une foule de tiers.
Sur la question des échanges de cartes SIM illégaux, Wired a récemment publié une colonne pointant vers une solution que de nombreux opérateurs en Afrique ont mise en œuvre, ce qui rend beaucoup plus difficile pour les voleurs d’échange de carte SIM d’exercer leur métier.
« Le transporteur mettrait en place un système permettant à la banque d’interroger les enregistrements téléphoniques de tout échange SIM récent associé à un compte bancaire avant d’effectuer un transfert d’argent », a écrit Câblé Andy Greenberg en avril. « Si un échange de carte SIM s’était produit au cours, disons, des deux ou trois derniers jours, le transfert aurait été bloqué. Étant donné que les victimes d’échange de carte SIM peuvent généralement voir en quelques minutes que leur téléphone a été désactivé, cette fenêtre de temps leur permet de signaler le crime avant que les fraudeurs ne puissent en profiter.
Pour sa part, AT&T indique qu’il propose désormais une solution pour aider à réduire les retombées des échanges de cartes SIM non autorisés, et que la société prévoit de publier prochainement un blog grand public à ce sujet. Voici quelques extraits de ce qu’ils ont envoyé à ce sujet :
« Notre service d’authentification et de vérification AT&T, ou AAVS. AAVS propose une nouvelle méthode pour aider les entreprises à déterminer que vous êtes, en fait, vous », a déclaré AT&T dans un communiqué. « Voilà comment cela fonctionne. Si une entreprise ou une entreprise intègre la fonctionnalité AVS dans son site Web ou son application mobile, elle peut se connecter automatiquement avec nous lorsque vous essayez de vous connecter. Grâce à cette connexion, le numéro et le téléphone sont associés pour confirmer la connexion. S’il détecte quelque chose de louche, comme la carte SIM qui n’est pas dans le bon appareil, la transaction n’aura pas lieu sans autre autorisation.
« C’est comme une vérification automatique des antécédents de votre téléphone, mais sans qu’aucune information personnelle ne change de mains, et tout se passe en un éclair sans que vous le sachiez. Pensez à la façon dont vous faites affaire avec les entreprises sur votre appareil mobile maintenant. Vous vous connectez généralement à un compte en ligne ou à une application mobile à l’aide d’un mot de passe ou d’une empreinte digitale. Certaines tâches peuvent nécessiter que vous receviez un code PIN de votre institution pour plus de sécurité, mais une fois que vous y avez accès, vous effectuez vos transactions. Avec AVS, le processus est plus sécurisé et rien ne change pour vous. En créant une couche de sécurité supplémentaire sans ajouter aucune étape pour le consommateur, nous pouvons faire de plus grands progrès pour aider les entreprises et leurs clients à mieux protéger leurs données et prévenir la fraude. Même s’il est conçu pour passer inaperçu, nous voulons que vous sachiez qu’il existe une couche de protection supplémentaire. En fait, nous l’offrons à des dizaines d’institutions financières.
« Nous travaillons avec plusieurs grandes banques pour déployer ce service afin de protéger leurs clients accédant aux comptes en ligne et aux applications mobiles dans les mois à venir, et d’autres suivront. En travaillant directement avec ces banques, nous pouvons vous aider à mieux protéger vos informations. »
En termes de lutte contre le déluge d’appels automatisés, Sohn affirme que nous avons déjà une approche viable pour arrêter ces appels importuns : il s’agit d’une procédure d’authentification connue sous le nom de « SECOUER/REMUER », et il est fondé sur l’idée que chaque téléphone est accompagné d’un certificat d’authenticité qui peut être utilisé pour valider si l’appel provient bien du numéro à partir duquel il semble appeler.
Sous un régime SHAKEN/STIR, toute personne qui usurpe son numéro (et la plupart de ces appels automatisés sont usurpés pour apparaître comme s’ils provenaient d’un numéro qui est dans le même préfixe que le vôtre) est automatiquement bloqué.
« La FCC pourrait obliger les opérateurs à fournir gratuitement des applications d’appel automatisé aux clients, mais ce n’est pas le cas », a déclaré Sohn. « Les transporteurs font plutôt demi-tour et facturent des frais supplémentaires aux clients pour ce service. Il y avait un projet de loi anti-appels automatisés assez fort qui a été adopté à la Chambre, mais il est maintenant coincé dans le cimetière législatif qu’est le Sénat.
AT&T l’a dit et les autres grands transporteurs aux États-Unis sont adoptant SHAKEN/STIR et ne prévoyez pas de le facturer. La société a déclaré qu’elle travaillait à l’intégration de cette fonctionnalité dans son Appelez l’application Protectqui est gratuit et destiné à aider les clients à bloquer les appels indésirables.
Qu’en est-il des perspectives d’une refonte majeure des lois sur la protection de la vie privée dans ce pays qui pourrait donner aux consommateurs plus de poids sur qui peut accéder à leurs données privées et sur les recours dont ils pourraient disposer lorsque les entreprises chargées de ces informations échouent ?
Sohn a déclaré qu’il y avait peu de signes que quiconque au Congrès défende sérieusement la vie privée des consommateurs en tant que problème législatif majeur. La plupart des efforts naissants pour faire entrer les lois sur la protection de la vie privée aux États-Unis dans le 21e siècle, a-t-elle déclaré, sont interminablement enlisés sur deux questions délicates : la préemption fédérale de lois d’État plus strictes et la capacité des consommateurs à intenter un droit privé d’action civile dans le tribunaux contre les entreprises qui violent ces dispositions.
« Il est grand temps que nous ayons un projet de loi fédéral sur la protection de la vie privée », a déclaré Sohn. «Des entreprises comme Facebook et d’autres demandent pratiquement un certain type de cadre réglementaire sur la vie privée des consommateurs, mais ce congrès ne parvient pas à mettre quelque chose en place. Pour moi, c’est incroyable que nous n’ayons même pas encore de projet de discussion. Il n’y a même pas un projet de loi qui est discuté et débattu. C’est vraiment pitoyable, et plus nous nous rapprochons des élections, moins cela devient probable parce que personne ne veut faire quoi que ce soit qui perturbe les contributions de leurs entreprises. Et, franchement, c’est honteux. »
Mise à jour, 8 août, 14 h 05 HE : Ajout de déclarations et de réponses d’AT&T.