Les banques du monde entier utilisent les SMS pour envoyer des codes temporaires afin d’autoriser les transactions en ligne. Cette authentification à deux facteurs devrait rendre le processus plus sûr ; cependant, les pirates informatiques ont découvert comment voler ces codes, en utilisant une vieille faille dans les compagnies de téléphone.
En janvier, des voleurs ont intercepté des SMS envoyés par des banques en Allemagne exploitant les vulnérabilités du SS7 (Système de signalisation n°7), selon le Süddeutsche Zeitung. Ils ont redirigé les SMS envoyés par la banque et ont utilisé les codes pour transférer de l’argent à partir des comptes.
Le vol est assez sophistiqué et s’inscrit dans une stratégie plus large. Les logiciels malveillants traditionnels doivent d’abord être utilisés pour infecter l’ordinateur du titulaire du compte et voler le mot de passe du compte bancaire. Les attaquants peuvent voir le solde disponible, mais ne peuvent effectuer des transferts qu’avec le code temporaire reçu par SMS.
C’est là qu’intervient le SS7. C’est un protocole de téléphonie utilisé depuis les années 1980, qui relie plus de 800 opérateurs dans le monde entier. C’est grâce à elle que vos appels et vos SMS transitent par différents réseaux, même lorsque vous êtes en itinérance.
Malheureusement, le SS7 présente plusieurs vulnérabilités. L’année dernière, le député américain Ted Lieu a demandé à deux chercheurs allemands d’utiliser le protocole pour l’espionner, pour un reportage télévisé ? et ils ont réussi. Les pirates peuvent également prendre le contrôle de SS7 pour intercepter les messages de confirmation de WhatsApp et Telegram, obtenant ainsi l’accès à leur compte.
Et cette fois, la cible était les banques. “Des criminels ont mené une attaque à partir du réseau d’un opérateur étranger à la mi-janvier”, a déclaré un représentant de l’opérateur allemand O2 Telefonica au Süddeutsche Zeitung. “L’attaque a redirigé vers les envahisseurs les SMS envoyés à certains clients allemands.” O2 a bloqué l’opérateur étranger (dont le nom n’a pas été révélé), et a averti les clients concernés.
D’autres attaques vont se produire
La plupart des réseaux SS7 ne sont pas connectés à l’internet. Cependant, selon le journal, un équipement de 1.000 ? (environ 3.500) suffit pour qu’un pirate informatique imite un opérateur téléphonique ? et demande ainsi l’accès à un autre opérateur via SS7..
Rien de tout cela n’a arrêté les attaques récentes, et plus certainement elles viendront. La méthode utilisée par les pirates est appelée “SMS spoofing”, et a été largement documentée depuis au moins 2013 ? les opérateurs connaissent déjà le risque. Le député Lieu a proposé l’année dernière que la FCC (l’équivalent américain d’Orange) fixe le SS7, mais comme le système est utilisé dans le monde entier par de nombreux opérateurs, ce sera une tâche difficile.
Donc, chaque fois que possible, utilisez une authentification à deux facteurs qui ne dépend pas des SMS, comme l’Authenticator de Google. Certaines banques génèrent également des clés temporaires directement dans l’application du smartphone au lieu d’envoyer des SMS.
