Pourquoi l’authentification à deux facteurs n’est-elle pas suffisante ?

Comment les messages des banques dotés de codes de confirmation sont-ils interceptés et ce qu’on peut faire pour se protéger ?

L’argument classique « As-tu vraiment besoin d’un antivirus ? » finit souvent par cette réponse :

  • Je n’ai pas besoin d’antivirus ! On n’a rien à me voler ! Des virus ? Des ransomwares ? Allez-y ! Venez m’infecter ! Je réinstallerai seulement le système d’exploitation, et je n’ai rien à perdre, je n’ai rien de valeur sur mon ordinateur.
  • Mais vous avez un compte en banque n’est-ce pas ? Vous effectuez des achats en ligne non ?
  • La banque possède l’authentification à deux facteurs. Cela me protégera. Même si les hackers ont volé ma carte de crédit, ils ne pourront pas retirer mon argent.

Eh bien, il s’avère qu’ils peuvent le faire. Tout d’abord, toutes les boutiques en ligne n’utilisent pas la protection sécurisée 3D, ce qui signifie que toutes les transactions ne nécessitent pas un message SMS de confirmation avec un code. Même si le code CVC (trois numéros au dos de la carte) n’est pas garanti contre le détournement, toutes les transactions n’en requièrent pas une.

Les hackers interceptent également les messages SMS envoyés des banques et utilisent les codes de vérification pour obtenir l’accès total à un compte. Récemment, une somme substantielle d’argent a été volée à des consommateurs malchanceux en Allemagne exactement de cette façon. Jetez un coup d’œil de plus près à ce qui s’est passé.

Une faille dans le téléphone

Intercepter des SMS est possible à cause des vulnérabilités sur un ensemble de téléphones signalant des protocoles référés à un nom commun – SS7 (alias Signaling System 7, Common Channel Signaling System 7).

Ces protocoles de signalisation sont l’épine dorsale du système de communication du téléphone contemporain ; ils sont conçus pour transmettre toutes les informations de service sans un réseau cellulaire. Ils ont été développés dans les années 1970 et mis en place pour la première fois dans les années 80, et depuis sont devenus une norme mondiale.

Au départ, les protocoles SS7 ont été conçus pour les téléphones fixes. L’idée était de séparer physiquement les signaux vocaux et de services en les mettant sur différentes chaînes, afin de solidifier la protection contre les intrus téléphoniques en utilisant des boîtes spéciales pour imiter les signaux de tonalité utilisés au moment de transférer les informations de service au sein des réseaux téléphoniques. (Oui, les mêmes boîtes que Steve Jobs et Steve Wozniak faisaient dans la journée, mais ça c’est une autre histoire.)

Le même ensemble de protocoles a été mis en place plus tard, sur des réseaux mobiles. Entre temps, les développeurs ont rajouté une série de fonctionnalités. Parmi d’autres choses, le SS7 est utilisé pour transférer des SMS.

Mais la sécurité informatique n’était pas un sujet de préoccupation il y a cinquante ans, du moins, pas pour les technologies civiles. L’efficacité était ce qui importait, et c’est ce qui a permis d’obtenir le SS7 efficace mais peu sécurisé.

Le principal point faible de ce système (parmi d’autres systèmes conçus à cette époque) est qu’il est basé sur la confiance. On a supposé que seuls les opérateurs de réseau y avaient accès, et on pensait généralement qu’ils étaient compétents.

Dernièrement, cependant, le niveau de sécurité du système est défini par le moindre membre protégé. Si l’un de ses opérateurs est piraté, c’est ensuite tout le système qui l’est. La même chose est vraie si n’importe quel administrateur de réseau travaillant pour l’un de ces opérateurs décide de dépasser les limites et d’utiliser le SS7 à leurs propres fins.

L’accès SS7 peut permettre à quelqu’un de mettre sur écoute des conversations, de déterminer la localisation de l’utilisateur, et d’intercepter des SMS, donc il n’est pas étonnant que les services secrets de plusieurs pays et les cybercriminels soient des utilisateurs actifs de l’accès SS7 non autorisé.

De quelle façon se déroule réellement l’attaque

Dans le cas de la récente attaque en Allemagne, cela s’est passé comme suit :

  1. Les utilisateurs d’ordinateurs ont été infectés par un cheval de Troie bancaire. Il est très simple d’être infecté par un cheval de Troie si vous n’utilisez pas de solution de sécurité, et ils peuvent agir sans signes évidents, par conséquent les utilisateurs ne le remarquent pas du tout.

En utilisant le cheval de Troie, les hackers volent des identifiants bancaires et des mots de passe. (Bien sûr, voler ces informations n’est pas suffisant dans la plupart des cas, le code de confirmation de la banque envoyé par SMS est également requis).

  1. Apparemment, le même cheval de Troie était utilisé pour détourner des numéros de téléphone d’utilisateurs. Ces données sont généralement requises lorsque des utilisateurs font des achats en ligne, et elles ne sont pas dures à voler. Par conséquent, les escrocs possédaient à la fois les informations pour accéder aux comptes bancaires des utilisateurs et à leurs numéros de téléphone portable.
  2. Les cybercriminels utilisaient les logins bancaires détournés afin d’initier le transfert bancaire vers leur propre compte bancaire. Après cela, ayant accès à SS7 pour le compte d’un opérateur téléphonique étranger, ils ont transmis des messages SMS envoyés à ces numéros de téléphone sur leur propre téléphone et ont reçu les codes de confirmation dont ils avaient besoin pour compléter les connexions et transférer de l’argent. La banque n’avait pas de raison de suspecter ne serait que le moindre abus.

L’opérateur téléphonique allemand dont les abonnés avaient été victimes de ce cas ont confirmé l’attaque. L’opérateur téléphonique étranger dont l’accès au réseau SS7 était utilisé pour l’attaque a été bloqué, et les personnes affectées ont été averties. On ignore s’ils ont réussi à récupérer l’argent.

Vous n’avez toujours pas besoin d’antivirus ?

L’authentification à deux facteurs est en général connue pour avoir une sécurité solide, si nul autre que vous avez accès à votre téléphone mobile, alors qui d’autre pourrait lire un message à ce sujet ? Eh bien, quiconque a accès au système SS7 est intéressé d’utiliser vos SMS pour obtenir votre argent.

Que pouvez-vous faire pour bâtir une propre authentification à deux facteurs et vous protéger contre des attaques similaires à celles décrites dans cet article ? Voici deux conseils.

  1. Le SMS n’est pas la seule solution pour l’authentification à deux facteurs. Voyez si votre banque prend en charge d’autres variantes plus sûres telles que l’application Google Authenticator et les clés USB cryptographiques.

[banking Trojans banner]

  1. Utilisez une solution de sécurité efficace sur chaque appareil. Malheureusement, les banques peuvent ne pas utiliser d’autres types d’authentification à deux facteurs ; certains envoient des confirmations seulement par SMS, et ensuite votre seul espoir est une solution de sécurité forte. Dans le cas d’une attaque décrite dans cet article, un propre antivirus n’aurait pas autorisé le cheval de Troie bancaire pour infecter l’ordinateur en premier lieu, donc le login bancaire n’aurait pas été détourné. Vous n’auriez pas eu accès au SMS.
Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.