L’attaque à 16 attack montre à quel point les transporteurs permettent facilement d’intercepter des messages texte
Dans un nouvel article intitulé « Un pirate Informatique a obtenu Tous Mes Textes pour 16 $ », le journaliste de Vice Joseph Cox a détaillé comment le pirate informatique à chapeau blanc – un employé d’un fournisseur de sécurité — a pu rediriger tous ses messages texte, puis pénétrer dans des comptes en ligne qui s’appuient sur des textes pour l’authentification.
Ce n’était pas une arnaque d’échange de cartes SIM, dans laquelle « des pirates trompent ou soudoient des employés de telecom pour porter le numéro de téléphone d’une cible sur leur propre carte SIM », a écrit Cox. « Au lieu de cela, le pirate a utilisé un service d’une société appelée Sakari, qui aide les entreprises à faire du marketing par SMS et de la messagerie de masse, pour rediriger mes messages vers lui. »
Cette méthode a incité T-Mobile à rediriger les messages texte de Cox d’une manière qui n’aurait peut-être pas été facilement apparente pour un utilisateur sans méfiance. « Contrairement au SIM jacking, où une victime perd entièrement son service cellulaire, mon téléphone semblait normal », a écrit Cox. « Sauf que je n’ai jamais reçu les messages qui m’étaient destinés, mais il l’a fait. »
Le pirate, qui porte le mononyme » Lucky225 « , est directeur de l’information chez Okey Systems, un fournisseur de sécurité. « J’ai utilisé une carte prépayée pour acheter un plan de 16per par mois, puis après cela, il m’a permis de voler des numéros simplement en remplissant des informations LOA avec de fausses informations », a déclaré l’employé d’Okey à Cox. La « LOA » est « une lettre d’autorisation, un document indiquant que le signataire a le pouvoir de changer de numéro de téléphone », a écrit Cox.
« Quelques minutes après avoir entré mon numéro T-Mobile dans Sakari, ils ont commencé à recevoir des messages texte qui étaient destinés à moi », a écrit Cox. « Je n’ai reçu aucun appel ou notification par SMS de Sakari demandant de confirmer que mon numéro serait utilisé par leur service. J’ai simplement arrêté de recevoir des SMS. »
Après avoir eu accès aux messages de Cox, « le pirate a envoyé des demandes de connexion à Bumble, WhatsApp et Postmates, et a facilement accédé aux comptes », indique l’article.
« En ce qui concerne la capacité de Sakari à transférer des numéros de téléphone, Nohl de Security Research Labs a déclaré: « il n’existe pas de protocole mondial standardisé pour transférer des messages texte à des tiers, de sorte que ces attaques s’appuieraient sur des accords individuels avec des opérateurs de télécommunications ou des hubs SMS » », écrit Cox.
Alors que Cox est un utilisateur de T-Mobile, le pirate lui a dit que le « transporteur n’a pas d’importance… C’est essentiellement le far West. »
CTIA: Les opérateurs prennent désormais des « mesures de précaution »
Okey propose un outil de surveillance des modifications malveillantes du service mobile d’un utilisateur. » Inscrivez-vous à notre version bêta gratuite et nous surveillerons les communications hors bande telles que vos itinéraires et les paramètres de l’opérateur. Si un événement malveillant se produit, nous vous alerterons via d’autres formes de communication de confiance « , explique la société.
Les porteurs eux-mêmes pourront peut-être arrêter ce type d’attaque à l’avenir. T-Mobile, Verizon et AT & T ont référé Cox à la CTIA, l’association professionnelle qui représente les principaux opérateurs mobiles. CTIA a dit à Cox:
Après avoir été mis au courant de cette menace potentielle, nous avons immédiatement travaillé pour l’enquêter et pris des mesures de précaution. Depuis ce temps, aucun transporteur n’a pu le reproduire. Nous n’avons aucune indication d’une activité malveillante impliquant la menace potentielle ou que des clients ont été touchés. La protection de la vie privée et la sécurité des consommateurs sont notre priorité absolue, et nous continuerons d’enquêter sur cette question.
Cette déclaration ne dit pas exactement quelles mesures de précaution les transporteurs ont prises pour prévenir l’attaque. Nous avons contacté T-Mobile et CTIA aujourd’hui et mettrons à jour cet article si nous obtenons plus d’informations.
Sakari a également apparemment amélioré la sécurité. Adam Horsman, cofondateur de Sakari, a déclaré à Cox que Sakari a, depuis qu’il a été mis au courant de l’attaque, « mis à jour notre processus de messagerie hébergé pour détecter cela à l’avenir » et « ajouté une fonctionnalité de sécurité où un numéro recevra un appel automatisé qui oblige l’utilisateur à renvoyer un code de sécurité à l’entreprise, pour confirmer qu’ils ont le consentement pour transférer ce numéro. »
Nous avons contacté Sakari aujourd’hui à propos de sa sécurité et de son intégration avec T-Mobile et mettrons à jour cet article si nous obtenons une réponse. Alors que Sakari était impliqué dans cette affaire, d’autres sociétés tierces peuvent également avoir des intégrations avec des transporteurs qui ouvrent les clients des transporteurs aux attaques. Les transporteurs eux-mêmes doivent faire plus attention à donner aux fournisseurs tiers la possibilité de rediriger les messages texte.
Mise à jour à 14h48 HAE: Sakari a répondu à Ars avec une déclaration disant: « Nous avons maintenant fermé cette faille de l’industrie chez Sakari et les autres fournisseurs et transporteurs de SMS devraient faire de même. Lorsque vous transférez un numéro de téléphone mobile aux États-Unis, comme un client qui change d’opérateur pour des appels vocaux, l’opérateur que vous quittez autorise le départ de votre numéro. Il n’existe pas de norme industrielle de ce type pour transférer la propriété de la messagerie sur les numéros mobiles. Sakari va déjà au-delà des normes de l’industrie en matière de vérification pour les nouveaux clients et a suivi à la lettre les directives de notre opérateur, mais à la lumière de ce développement, nous avons maintenant ajouté un appel de vérification téléphonique à tous les nouveaux numéros activés par texte afin que personne ne puisse utiliser Sakari pour exploiter à nouveau cette faille de l’industrie. Le SMS est un moyen de communication extrêmement puissant, et comme il continue de dominer le paysage de la communication, nous serions heureux des améliorations nécessaires de la part de l’industrie — à la fois les transporteurs et les revendeurs. »
L’histoire de Cox n’est pas le premier rappel de l’insécurité des messages texte. Les attaques par échange de cartes SIM et les failles des protocoles téléphoniques SS7 rendaient déjà risqué l’utilisation de messages texte pour l’authentification, mais de nombreux sites Web et autres services en ligne s’appuient toujours sur des textes pour vérifier l’identité des utilisateurs. Les clients peuvent configurer des codes PIN de compte avec T-Mobile et d’autres opérateurs pour empêcher l’accès non autorisé à leurs comptes cellulaires, mais il n’est pas clair si cela aurait empêché le type d’attaque qui a redirigé les messages texte de Cox.