Pas besoin de malware ou de faille... Des experts ont réussi à pirater des comptes Web populaires protégés par un système d’authentification à double facteur simplement grâce à un numéro de téléphone recyclé.
au sommaire
Prendre possession d'un compte malgré l'authentification à double facteur, via un code reçu par SMS, ce n'est pas aussi compliqué qu'il y paraît, mais c'est quand même assez vicieux. C'est ce que vient de révéler une nouvelle étude menée par des chercheurs de l'Université de Princeton aux États-Unis. Pas besoin de dénicher une faille quelconque, un simple numéro de téléphone suffit. Mais attention, pour que cela marche, il faut que le propriétaire de ce compte change de numéro de téléphone et que l'on puisse récupérer son ancien.
Toute l'arnaque repose sur la gestion des anciens numéros de téléphone par les opérateurs. Plutôt que de le supprimer, ces derniers réattribuent l'ancien numéro à un nouvel abonné afin de ralentir la génération de nouveaux numéros et finir par arriver à court de 06 et maintenant de 07 pour le cas français. Or, selon les chercheurs, lorsque l'on abandonne un numéro de téléphone, celui-ci reste souvent lié par inattention au système de protection à double facteur. Ainsi, les auteurs de l'étude ont découvert que sur 259 numéros de téléphone disponibles pour les nouveaux abonnés chez deux grands opérateurs américains, 171 étaient toujours liés à des comptes existants sur des sites Web populaires. Mais alors, avec cette information comment pirater le compte du nouveau propriétaire ?
Pour réussir : de la chance alliée à beaucoup de malveillance
Pour le savoir, voici le scénario invraisemblable qui pourrait mener au piratage d'un compte. Le plus important, c'est d'être de nature particulièrement malveillante. Ensuite, il faut prendre une nouvelle ligne de téléphone dont le numéro est recyclé. L'étape suivante consiste à utiliser un moteur de recherche pour retrouver le nom de l'ancien propriétaire de ce numéro et éventuellement ses adresses e-mails qui servent d'identifiant. Et ce n'est pas si compliqué, puisque pour parvenir à se connecter au compte, l'étude montre que sur son échantillon, 100 des numéros de téléphones recyclés permettaient de retrouver des informations assurant la première étape de connexion.
Pour terminer, le sésame du compte tombe de lui-même via un message sur le mobilemobile, puisque l'ancien propriétaire est dépossédé de son numéro de téléphone. C'est assez vicieux certes, mais, selon les chercheurs, rien que le fait de recevoir des notifications de connexion sur un nouveau numéro de téléphone pourrait inciter certaines personnes peu ordinaires à se lancer dans cette méthode de piratage. Menace crédible ou pas, avant de changer de numéro, vaut mieux penser à mettre à jour les paramètres d'authentificationauthentification SMS à double facteur sur l'ensemble de ses comptes.