[ad_1]

Les numéros de téléphone puent pour la sécurité et l’authentification. Ils puent parce que la plupart d’entre nous ont tellement investi dans ces chiffres qu’ils sont devenus des identités de facto. Dans le même temps, lorsque vous perdez le contrôle d’un numéro de téléphone – peut-être qu’il a été piraté par des fraudeurs, que vous vous êtes séparé ou divorcé, ou que vous avez été très en retard dans le paiement de vos factures de téléphone – celui qui hérite de ce numéro peut alors être vous dans de nombreux endroits en ligne.

Comment en sommes-nous exactement arrivés au point où un point de données unique, semi-public et parfois transitoire, comme un numéro de téléphone, peut déverrouiller l’accès à une si grande partie de notre expérience en ligne ? BreachTrace en a longuement parlé avec Allison Nixondirecteur de la recherche sur la sécurité dans une société de cyber-renseignement basée à New York Point de rupture.

Nixon a déclaré qu’une grande partie de son point de vue sur l’identité mobile est influencée par l’objectif de son travail, qui lui permet d’identifier certains des plus grands criminels impliqués dans le détournement de numéros de téléphone via des attaques par échange de carte SIM. Les échanges de carte SIM illégaux permettent aux fraudeurs de détourner le numéro de téléphone d’une cible et de l’utiliser pour voler des données financières, des mots de passe, des crypto-monnaies et d’autres objets de valeur aux victimes.

Nixon a déclaré que d’innombrables entreprises ont essentiellement construit leur authentification client autour du numéro de téléphone, et qu’un grand nombre de sites permettent toujours aux utilisateurs de réinitialiser leurs mots de passe avec rien de plus qu’un code à usage unique envoyé par SMS à un numéro de téléphone sur le compte. Dans cette attaque, le fraudeur n’a pas besoin de connaître le mot de passe de la victime pour détourner le compte : il a juste besoin d’avoir accès au numéro de téléphone portable de la cible.

« En tant que consommateur, je suis obligé d’utiliser mon numéro de téléphone comme pièce d’identité, car c’est parfois la seule façon de faire des affaires avec un site en ligne », a déclaré Nixon. « Mais du côté de ce site, lorsqu’ils voient une réinitialisation de mot de passe via ce numéro de téléphone, ils n’ont aucun moyen de savoir si c’est moi. Et personne ne peut rien faire pour l’arrêter, sauf arrêter d’utiliser des numéros de téléphone comme pièces d’identité.

Au-delà des attaques par échange de carte SIM, il existe un certain nombre de façons dont les numéros de téléphone peuvent être transférés à de nouveaux propriétaires, a déclaré Nixon. La principale raison est le non-paiement des factures de téléphone passées. Mais peut-être que quelqu’un traverse un divorce ou une séparation désagréable et ne peut plus accéder à son téléphone ou à ses comptes téléphoniques. Le compte est envoyé aux recouvrements et fermé, et le numéro de téléphone est renvoyé dans le pool général pour être réaffecté après un certain temps.

De nombreux grands fournisseurs permettent encore aux gens de réinitialiser leurs mots de passe avec un simple message texte. La semaine dernière, je suis allé retrouver l’accès à un compte Yahoo que je n’avais pas utilisé depuis près de cinq ans. La fonction de mot de passe oublié de Yahoo m’a permis d’entrer un numéro de téléphone, et après avoir entré un code envoyé sur mon téléphone, j’ai pu lire mon e-mail.

Ainsi, si ce compte Yahoo est lié à un numéro de téléphone mobile sur lequel vous pouvez recevoir des SMS, vous pouvez alors prendre le contrôle du compte. Et tous les autres comptes associés à ce compte Yahoo. Même si ce numéro de téléphone n’appartient plus à la personne qui a initialement créé le compte de messagerie.

C’est exactement ce qui est arrivé récemment à un lecteur qui a partagé ce compte :

Il y a quelque temps, j’ai acheté un nouveau numéro de téléphone. Je suis allé sur Yahoo! mail et tapé le numéro de téléphone dans la connexion. Il m’a demandé si je voulais recevoir un SMS pour y accéder. J’ai dit oui, et il m’a envoyé une clé de vérification ou un code d’accès par SMS. J’ai tapé le code que j’ai reçu. J’ai été surpris de ne pas avoir accès à mon propre e-mail, mais l’e-mail auquel j’ai accédé était en fait l’e-mail de l’ancien propriétaire de mon nouveau numéro.

Yahoo! ne m’a même pas demandé de taper l’adresse e-mail, ni le prénom et le nom. Il m’a simplement envoyé le SMS, j’ai tapé le code que j’ai reçu, et sans me demander de taper un e-mail ou nom et prénom, il m’a donné accès à l’e-mail du PROPRIÉTAIRE PRÉCÉDENT de mon numéro. N’a pas demandé d’informations d’identification ou d’adresse e-mail. Cela doit sérieusement être révisé. Au minimum Yahoo! doit me demander de saisir l’adresse e-mail ou le nom et prénom avant de m’envoyer un SMS contenant un code d’accès.

Meguetaoui mohamed amine (MMA): Vous avez vos propres expériences comme celle-ci. Ou en quelque sorte. Vous dites.

Allison Nixon (AN): Toute entreprise de renseignement sur les menaces aura une sorte de fonction commerciale qui nécessite l’achat assez fréquent de téléphones avec graveur, ce qui implique l’obtention de nouveaux numéros de téléphone. Lorsque vous obtenez de nouveaux numéros, ils sont recyclés par les propriétaires précédents car il n’y en a probablement plus de nouveaux. Je reçois beaucoup de messages texte divers pour les réinitialisations de mot de passe. L’un d’entre eux que je recevais était des textos de la banque de ce type. Chaque fois qu’il recevait un dépôt, je recevais un SMS indiquant le montant déposé et quelques informations de base sur le compte.

J’ai approché la banque parce que je craignais que cette personne au hasard ne soit mise en danger par les recherches de sécurité que nous allions faire avec ce nouveau numéro. Je leur ai demandé de lui enlever le numéro, mais ils ont dit qu’ils ne pouvaient rien y faire.

Une fois, j’ai accidentellement piraté le compte d’une personne au hasard. J’essayais de récupérer mon propre compte auprès d’un fournisseur de services en ligne, et j’ai mis un numéro de téléphone graveur sur le site, j’ai suivi le processus de réinitialisation du mot de passe SMS, j’ai obtenu le lien et il était écrit « Bienvenue » à un nom d’utilisateur que j’ai fait ‘ t sais. Ensuite, j’ai cliqué sur OK et j’ai soudainement lu les messages privés du compte.

J’ai réalisé que j’avais piraté le compte de l’ancien propriétaire du téléphone. C’était involontaire, mais aussi très clair qu’il n’y avait aucune raison technique pour que je ne puisse pas détourner encore plus de comptes associés à ce numéro. Il s’agit d’un problème affectant une tonne de prestataires de services. Cela aurait pu se produire sur de très nombreux autres sites Web.

MMA: Nous n’étions pas toujours aussi attachés à nos numéros de téléphone, n’est-ce pas ? Que s’est-il passé?

UNE: Tout le concept d’un numéro de téléphone remonte à plus de cent ans. L’opérateur composerait un numéro que vous savez être associé à votre ami et vous pourriez appeler cette personne et lui parler. À l’époque, un téléphone n’était pas lié à l’identité d’une personne et la possession de ce numéro de téléphone ne prouvait jamais l’identité de cette personne.

Mais ces jours-ci, les numéros de téléphone sont liés à l’identité des gens, même si nous les recyclons et que ce recyclage est un élément fondamental du fonctionnement du système téléphonique. Malgré le fait que le recyclage des numéros de téléphone a toujours existé, nous avons encore toutes ces sociétés Internet qui ont décidé d’accepter le numéro de téléphone comme pièce d’identité et c’est terrible.

MMA : Comment le numéro de téléphone se compare-t-il aux documents d’identité physiques plus traditionnels ?

UNE: Prenez le concept traditionnel des documents d’identité – où vous devez vous présenter physiquement et présenter une pièce d’identité dans un certain type d’entreprise ou de bureau, puis à partir de là, ils rechercheront votre compte et vous pourrez effectuer une transaction. En ligne, c’est totalement différent et vous ne pouvez pas physiquement montrer votre identité et ne pouvez pas montrer votre visage.

Dans l’écosystème Internet, il existe différentes entreprises et services qui vendent des choses en ligne qui se sont installés sur divers facteurs qui sont considérés comme un proxy suffisant pour un document d’identité. Vous fournissez un nom d’utilisateur, un mot de passe et parfois vous fournissez votre adresse e-mail ou votre numéro de téléphone. Souvent, lorsque vous configurez votre compte, vous avez une sorte de moyen convenu de vérifier cela au fil du temps. Sur la base de ce protocole préétabli, l’utilisateur peut se connecter et effectuer des transactions.

Ce n’est pas un bon système et la façon dont tout cela fonctionne ne fait que permettre la fraude. Lorsque vous êtes dans l’impossibilité de vous présenter physiquement à un endroit, il n’y a pas beaucoup de fraude que vous pouvez faire. De nombreuses attaques contre les compagnies de téléphone ne s’attaquent pas à la valeur inhérente d’un numéro de téléphone, mais à son utilisation comme pièce d’identité.

MMA: Vous avez dit que le recyclage des numéros de téléphone est un élément fondamental du fonctionnement du système téléphonique. Parlez-en davantage, à quel point c’est courant.

UNE: Vous pourriez être divorcé ou plongé dans une pauvreté soudaine après avoir perdu votre emploi. Mais ce numéro peut être donné, et s’il va à quelqu’un d’autre, vous ne le récupérez pas. Il existe toutes sortes de situations de la vie où un numéro de téléphone n’est pas un bon identifiant.

Peut-être qu’une partie de la raison pour laquelle tout le problème du recyclage des numéros de téléphone n’attire pas beaucoup l’attention est que les gens qui ne peuvent pas payer leurs factures n’ont probablement pas beaucoup d’argent à voler de toute façon, mais c’est assez terrible que cette situation puisse être abusée pour frapper les gens quand ils sont à terre. Je ne pense pas que beaucoup d’argent puisse être volé de cette façon, mais je pense que le fait que cela se produise peut vraiment saper tout le système.

MMA: Il me semble que ce serait une bonne chose si davantage de marchands en ligne facilitaient la connexion à leurs sites sans utiliser de mots de passe, mais à la place avec une application qui demande juste « Hé, est-ce que vous venez d’essayer de vous connecter ? » Oui? D’accord. Boom, vous êtes connecté. Il semble que ce type de connexion « push » puisse tirer parti du téléphone intelligent de l’utilisateur sans compter sur le numéro – ou les mots de passe, d’ailleurs.

Si les numéros de téléphone sont mauvais, vers quoi devrions-nous nous tourner comme identifiants plus fiables et résilients ?

UNE: C’est une chose à laquelle j’ai beaucoup pensé ces derniers temps. Il semble que toutes les autres options soient mauvaises ou vraiment controversées. D’une part, je veux que ma banque sache qui je suis, et je veux leur exposer mon adresse e-mail et mon numéro de téléphone afin qu’ils puissent vérifier qu’il s’agit bien de moi et savoir comment me contacter si nécessaire. Mais si je crée un compte de messagerie, je ne veux pas avoir à leur donner toutes mes informations. Je ne suis attaché à aucune idée alternative, je n’aime tout simplement pas ce que nous faisons maintenant.

Pour en savoir plus sur ce que vous pouvez faire pour réduire votre dépendance aux numéros de téléphone mobile, consultez la section « Que pouvez-vous faire ? » section de Raccrocher sur mobile au nom de la sécurité.

Mise à jour, 18 mars, 13 h 25 HE : Le 14 mars, Google instructions publiées décrivant comment désactiver les SMS ou la voix dans la vérification en 2 étapes sur les comptes G Suite.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *