Les SMS étaient déjà le maillon le plus faible sécurisant à peu près n’importe quoi en ligne, principalement parce qu’il y a des dizaines de milliers d’employés dans les magasins mobiles qui peuvent être trompés ou soudoyés pour échanger le contrôle d’un numéro de téléphone portable avec quelqu’un d’autre. Nous découvrons maintenant tout un écosystème d’entreprises que n’importe qui pourrait utiliser pour intercepter silencieusement des messages texte destinés à d’autres utilisateurs mobiles.
Chercheur en sécurité « Lucky225” a travaillé avec Vice.com Joseph Cox intercepter les SMS entrants de Cox avec sa permission. Lucky225 a montré comment n’importe qui pouvait faire la même chose après avoir créé un compte sur un service appelé Sakariune entreprise qui aide les célébrités et les entreprises à faire du marketing par SMS et de la messagerie de masse.
Le « comment ils ont fait » était d’une simplicité écœurante. Cela ne coûtait que 16 $ et il n’y avait pas grand-chose pour empêcher quelqu’un de voler vos messages texte à votre insu. Cox écrit :
Sakari propose un essai gratuit à toute personne souhaitant voir à quoi ressemble le tableau de bord de l’entreprise. Le forfait le moins cher, qui permet aux clients d’ajouter un numéro de téléphone avec lequel ils souhaitent envoyer et recevoir des SMS, est l’endroit où vont les 16 $. Lucky225 a fourni à Motherboard des captures d’écran de l’interface de Sakari, qui affichent un symbole « + » rouge où les utilisateurs peuvent ajouter un numéro.
Lors de l’ajout d’un numéro, Sakari fournit la lettre d’autorisation que l’utilisateur doit signer. La LOA de Sakari stipule que l’utilisateur ne doit adopter aucun comportement illégal, harcelant ou inapproprié avec le service de messagerie texte et le numéro de téléphone.
Mais comme l’a montré Lucky225, un utilisateur peut simplement s’inscrire avec le numéro de quelqu’un d’autre et recevoir ses messages texte à la place.
Lucky225, qui est directeur de l’information pour Systèmes Okey, a déclaré à BreachTrace que Sakari a depuis pris des mesures pour bloquer son service car il est utilisé avec des numéros de téléphone mobile. Il a déclaré que Sakari n’est qu’une partie d’une industrie beaucoup plus vaste et non réglementée qui peut être utilisée pour détourner des messages SMS pour de nombreux numéros de téléphone.
« Ce n’est pas un truc de Sakari », a répondu Lucky225 lorsqu’il a été approché pour plus de détails. « C’est une chose à l’échelle de l’industrie. Il existe un grand nombre de ces fournisseurs d’« activation SMS ».
De nos jours, la façon la plus courante dont les voleurs détournent les messages SMS consiste à «échanger des cartes SIM», un crime qui consiste à soudoyer ou à tromper les employés des entreprises de téléphonie sans fil pour qu’ils modifient les informations du compte client.
Dans un échange de carte SIM, les attaquants redirigent le numéro de téléphone de la cible vers un appareil qu’ils contrôlent, puis peuvent intercepter les SMS et les appels téléphoniques entrants de la cible. À partir de là, l’attaquant peut réinitialiser le mot de passe de tout compte qui utilise ce numéro de téléphone pour les liens de réinitialisation de mot de passe.
Mais les attaques que Lucky225 a démontrées exigent simplement que les clients d’un certain nombre d’entreprises signent une «lettre d’autorisation» ou une LOA sous serment indiquant qu’ils ont effectivement le pouvoir d’agir au nom du propriétaire du numéro ciblé.
Allison Nixon est directeur de recherche à Unité221B, une société de cyber-investigation basée à New York. Une experte des attaques par échange de carte SIM qui a été citée un peu sur ce blog, Nixon a déclaré qu’elle avait également demandé à Lucky225 de tester ses astuces d’interception sur son téléphone portable, seulement pour voir ses messages SMS entrants apparaître sur son téléphone avec graveur.
« Cela signifie essentiellement que la seule chose qui se dresse entre quiconque et l’équivalent d’un échange de carte SIM est une fausse LOA », a déclaré Nixon. « Et le ‘correctif’ mis en place semble être de nature temporaire. »
La méthode d’interception décrite par Lucky225 est toujours dangereusement exposée par un certain nombre de faiblesses systémiques dans le réseau SMS mondial, a-t-il déclaré.
La plupart des grands fournisseurs de télécommunications traditionnels valident les demandes de transfert liées à leurs clients en consultant NPACou la Centre d’administration de la portabilité des numéros. Lorsque les clients souhaitent déplacer leurs numéros de téléphone (mobiles ou autres), cette demande est acheminée via NPAC vers l’opérateur du client.
Cette demande de changement porte ce qu’on appelle un ALT-SPID, qui est un numéro à quatre chiffres qui permet à NPAC d’identifier l’entreprise de télécommunications qui fournit actuellement le service au client. Plus important encore, dans le cadre de ce processus, aucun changement ne peut se produire à moins que le transporteur du client n’ait vérifié les changements auprès du client existant.
Mais Lucky225 a déclaré que la classe d’interception de SMS qu’il testait ciblait une série de faiblesses d’authentification liées à un système développé par NuméroNetune société privée à Lowell, Mass. NetNumber a développé son propre système propriétaire pour cartographier les fournisseurs de télécommunications qui est utilisé par Sakari et toute une industrie d’entreprises similaires.
NetNumber a développé ses SPID ALT à six chiffres (identifiants NetNumber) pour mieux organiser et suivre les fournisseurs de services de communication qui utilisaient tous d’autres systèmes de numérotation (et des nombres de chiffres différents). Mais NetNumber travaille également directement avec des dizaines de compagnies de téléphonie voix sur IP ou Internet qui ne respectent pas les mêmes règles réglementaires que celles qui s’appliquent aux fournisseurs de télécommunications traditionnels.
« Il existe de nombreux fournisseurs de VoIP qui offrent une « activation de texte » « hors réseau » », a expliqué Lucky225. « Des entreprises telles que ZipWhip qui promettent de vous laisser » activer le SMS sur votre numéro de téléphone professionnel existant « afin que les clients puissent envoyer un SMS à votre ligne commerciale principale, qu’il s’agisse d’un numéro VoIP, sans frais ou fixe. »
Comme Lucky225 l’a écrit dans son article moyen completil existe une pléthore de fournisseurs VoIP de gros qui vous permettent de devenir revendeur avec peu ou pas de vérification, beaucoup d’entre eux autorisent des lettres d’autorisation (LOA) générales, où vous, en tant que revendeur, promettez que vous avez une LOA enregistrée pour tout numéro que vous souhaitez activer le texte pour vos revendeurs ou utilisateurs finaux.
« Essentiellement, une fois que vous avez un compte revendeur auprès de ces grossistes VoIP, vous pouvez remplacer l’ID de numéro de réseau de n’importe quel numéro de téléphone par le NNID de votre fournisseur de gros et commencer à recevoir des SMS sans pratiquement aucune authentification. Pas besoin d’échange de carte SIM, d’attaques SS7 ou de ports sortants – il suffit de taper le numéro de téléphone de la cible dans une zone de texte et d’appuyer sur soumettre et en quelques minutes, vous pouvez commencer à recevoir des SMS pour eux. Ils ne seront même pas avertis que quelque chose s’est passé car leurs services voix et données continueront de fonctionner comme d’habitude. Étonnamment, malgré le fait que Je l’ai révélé publiquement en 2018rien n’a été fait pour arrêter cette attaque relativement peu sophistiquée.
NetNumber a refusé de commenter le dossier, mais a plutôt fait référence à une déclaration de la CTIA, une association professionnelle représentant l’industrie du sans fil, qui se lit comme suit :
«Après avoir été informés de cette menace potentielle, nous avons immédiatement travaillé pour enquêter et pris des mesures de précaution. Depuis lors, aucun transporteur n’a été en mesure de le reproduire. Nous n’avons aucune indication d’activité malveillante impliquant la menace potentielle ou que des clients aient été touchés. La confidentialité et la sécurité des consommateurs sont notre priorité absolue, et nous continuerons d’enquêter sur cette affaire. »
Lucky225 a déclaré à BreachTrace que de nombreuses grandes entreprises de téléphonie mobile ont pris des mesures pour s’assurer qu’aucun de leurs clients ne peut être affecté par les modifications demandées via NetNumber ou ses partenaires. Mais il soupçonne que certaines des plus petites entreprises de télécommunications filaires et sans fil pourraient encore être vulnérables.
« Je suis presque sûr que ce ne sont que les gros transporteurs qu’ils protègent maintenant », a-t-il déclaré. « Mais il y a tellement de choses que nous ne savons pas sur ce qu’ils ont corrigé parce que tout le monde est si discret à ce sujet en ce moment. »
Nixon a déclaré qu’il était temps que les régulateurs fédéraux interviennent et protègent les consommateurs.
« Il est clair qu’il s’agit de beaucoup d’infrastructures de base et que des changements fondamentaux vont devoir se produire ici », a-t-elle déclaré. « Les régulateurs doivent vraiment s’impliquer. »
QUE POUVEZ-VOUS FAIRE?
Compte tenu de l’impact potentiellement large des fraudeurs abusant de cela et d’autres faiblesses dans le vaste écosystème mobile pour renverser complètement la sécurité des communications par SMS et de l’authentification multifacteur, c’est probablement une bonne idée de repenser votre relation avec votre numéro de téléphone. Il est maintenant plus clair que jamais à quel point il est insensé de faire confiance aux SMS pour quoi que ce soit.
Mon conseil a longtemps été de supprimer les numéros de téléphone de vos comptes en ligne partout où vous le pouvez et d’éviter de sélectionner des SMS ou des appels téléphoniques pour des codes de second facteur ou à usage unique. Les numéros de téléphone n’ont jamais été conçus pour être des documents d’identité, mais c’est effectivement ce qu’ils sont devenus. Il est temps que nous arrêtions de laisser tout le monde les traiter de cette façon.
Tous les comptes en ligne que vous appréciez doivent être sécurisés avec un mot de passe unique et fort, ainsi que la forme la plus robuste d’authentification multifacteur disponible. Habituellement, il s’agit d’une application mobile comme Authy ou Google Authenticator qui génère un code à usage unique. Certains sites comme Twitter et Facebook prennent désormais en charge des options encore plus robustes, telles que les clés de sécurité physiques.
La suppression de votre numéro de téléphone peut être encore plus importante pour tous les comptes de messagerie que vous pourriez avoir. Inscrivez-vous à n’importe quel service en ligne, et il vous faudra presque certainement fournir une adresse e-mail. Dans presque tous les cas, la personne qui contrôle cette adresse peut réinitialiser le mot de passe de tous les services ou comptes associés, simplement en demandant un e-mail de réinitialisation du mot de passe.
Malheureusement, de nombreux fournisseurs de messagerie permettent toujours aux utilisateurs de réinitialiser les mots de passe de leur compte en envoyant un lien par SMS au numéro de téléphone enregistré pour le compte. Supprimez donc le numéro de téléphone en tant que sauvegarde pour votre compte de messagerie et assurez-vous qu’un deuxième facteur plus robuste est sélectionné pour toutes les options de récupération de compte disponibles.
Voici le problème : la plupart des services en ligne exigent que les utilisateurs fournissent un numéro de téléphone mobile lors de la création du compte, mais n’exigent pas que le numéro reste associé au compte après sa création. Je conseille aux lecteurs de supprimer leurs numéros de téléphone des comptes dans la mesure du possible et de profiter d’une application mobile pour générer des codes à usage unique pour l’authentification multifacteur.