Depuis des années, nous savons qu’il existe un bug au cœur même du réseau téléphonique commuté public (RTCP) qui le rend vulnérable vis à vis des cybercriminels, hackers et gouvernements fans de surveillance.
Le bug se situe dans le système de signalisation n°7 (Signaling System N°7/SS7) : les protocoles de signalisation téléphonique utilisés pour établir une interopérabilité entre plus de 800 fournisseurs de services dans le monde entier. SS7 vous permet de recevoir un SMS où que vous soyez, chez vous, dans une voiture ou en déplacement hors de votre pays, connecté alors à un réseau étranger.
Malheureusement, des personnes externes peuvent s’attaquer au SS7, facilitant ainsi l’espionnage, l’interception de données et la redirection des codes 2FA que les banques envoient généralement à ses clients.
C’est ce que nous avons pu observer en Mai dernier : des cybercriminels se sont engouffrés dans cette faille SS7 pour mettre la main sur des comptes bancaires en ligne de clients. Il s’agissait d’une attaque en deux étapes, ciblant les fonctionnalités de transfert d’appel SS7, qui permettent aux réseaux de valider votre carte SIM lorsque vous voyagez à l’étranger. Tout d’abord, les hackers ont envoyé des emails de phishing, puis ils ont récupéré les numéros de compte, les numéros de téléphone et les mots de passe, et ont ensuite mis en place une redirection, au niveau du téléphone portable de la victime, vers une plateforme qu’ils contrôlaient, pour au final lancer une opération nocturne afin de se connecter aux comptes, et mettre en place des transferts de fonds.
Aujourd’hui, nous avons des nouvelles encore plus troublantes concernant SS7, et encore plus de preuves, qui nous montrent que vous ne devriez plus utiliser les SMS pour l’identification à deux facteurs (2FA). Dans une vidéo uploadée Lundi, des chercheurs de l’entreprise de cybersécurité russe Positive Technologies ont démontré qu’ils pouvaient utiliser les bugs au sein du SS7 pour prendre le contrôle d’un portefeuille Bitcoin Coinbase, et récupérer des fonds.
Voici la vidéo :
En tant qu’experts en cybersécurité, il est évident qu’ils n’ont rien volé, mais ils ont pu montrer l’extrême facilité de le faire. Un cybercriminel a besoin tout simplement du prénom, du nom et du numéro de téléphone portable du détenteur d’un portefeuille Bitcoin.
Comme le montre la vidéo, les experts chez Positive ont ciblé un compte Coinbase protégé par 2FA. Le compte Bitcoin était enregistré avec un compte Gmail qui était également protégé par 2FA.
Ils ont commencé leur action au niveau de Gmail, en utilisant le service de Google pour trouver un compte de messagerie avec le numéro de téléphone d’une victime. Une fois l’adresse électronique identifiée, les hackers l’ont utilisée pour réinitialiser le mot de passe, ce qui se fait par email en génaral. Étant donné que le cybercriminel, dans notre cas, connaît le numéro de téléphone de la victime, ils peuvent exploiter les vulnérabilités SS7 pour intercepter le SMS, qui contiendra les codes d’autorisation à usage unique permettant la récupération du compte.
Ensuite, le hacker choisit un nouveau mot de passe et prend le contrôle du compte Gmail. Ainsi, il se retrouve sur le site web de Coinbase, où il réinitialise un autre mot de passe en utilisant le compte de messagerie qu’il vient de pirater.
La vulnérabilité de Gmail et Coinbase/Bitcoin vis à vis de cette attaque n’est que la dernière d’un long historique en matière d’exploits SS7. Au moment de l’attaque des comptes bancaires en Mai dernier, facilitée par le bug SS7, Bank Info Security avait résumé l’historique des exploits SS7, qui ont été développés en 1975, et qui depuis ont été déclinés sous différentes formes :
- La présentation de Tobias Engel au “Chaos Communication Congress” en 2008 a montré comment des utilisateurs SS7, non autorisés, pouvaient pister la géolocalisation d’un téléphone.
- La divulgation de documents par Ed Snowden en 2013 a révélé que la NSA utilisait SS7 pour l’espionnage d’individus.
- La présentation de Karsten Nohl au “Chaos Communication Congress” en 2014 a montré comment SS7 pouvait être piraté, permettant ainsi aux hackers d’écouter des appels téléphoniques, de lire des SMS et d’intercepter le trafic internet (Il a même fait la démonstration de cette technique en piratant les messages d’un député américain dans le magazine d’information bien connu aux Etats-Unis, 60 minutes).
- La même année, Positive Technologies a montré un piratage encore plus puissant, permettant l’interception de messages et le piratage de redirections du SS7, en utilisant des PC Linux standard et des outils logiciels accessibles gratuitement. L’entreprise a déclaré que “les 10 principaux opérateurs de téléphonie mobile dans le monde étaient vulnérables … et que le blocage des exploits associés était difficile car les attaques pourrait être développées à l’aide de messages SS7 officiels, ce qui signifie qu’ils étaient presque impossible à filtrer”.
- Enfin, en 2014, le régulateur des télécommunications ukrainien a signalé des preuves d’attaques SS7 “sauvages”, et apparemment en provenance de Russie.
Comme Naked Security l’a noté par le passé, la solution à long terme est de corriger SS7. Selon le National Security Cyber Center au Royaume-Uni, le travail a déjà commencé pour renforcer le SS7, et ce dans le but d’arrêter la “redirection aisée du trafic britannique”, et rendre ainsi plus complexe l’intégration, à grande échelle, des machines britanniques dans des attaques par déni de service (DDoS), et ainsi obtenir la généralisation de ces protocoles renforcés au sein des principaux échanges téléphoniques. Le “National Institute for Standards and Technology” (NIST) américain a récemment publié de nouvelles directrices interdisant l’identification par SMS au sein du service public américain.
En fait, le piratage du SS7 n’est qu’une technique parmi tant d’autres, que les cybercriminels peuvent utiliser, pour détourner des SMS et des appels vers un autre appareil. Ils peuvent également utiliser l’ingénierie sociale pour créer un contact de type “Service Client”, au niveau de l’opérateur de téléphonie, ou ils peuvent encore récupérer des comptes via une technique, bien connue, appelée SIM Swap.
Comme l’a expliqué Paul Ducklin de Naked Security, les SIM Swaps, à savoir l’opération qui consiste à utiliser votre carte SIM (Subscriber Identity Module) afin d’activer un nouveau téléphone, peuvent être effectués de manière frauduleuse. Au cours de SIM Swaps frauduleux, l’objectif des cybercriminels est d’intercepter vos codes 2FA, modifier le plus de paramètres possibles dans votre profil, ajouter de nouveaux comptes bénéficiaires pour les paiements, appartenant bien sûr à des complices, et enfin transférer l’argent de votre compte vers un autre compte, à partir duquel ils pourront rapidement retirer les fonds en espèces, et disparaître à tout jamais !
Paul donne de nombreux conseils très utiles sur la façon d’éviter d’être victime de SIM Swaps, qui sont assez récurrents pour que ActionFraud UK, faisant partie du National Fraud Intelligence Bureau (NFIB) britannique, l’ait signalé récemment.
Par exemple, vous devriez envisager de passer des codes 2FA par SMS à des codes générés par une application d’authentification. De cette façon, les cybercriminels devront voler votre téléphone et trouver votre code de verrouillage pour accéder à l’application qui génère vos codes de connexion à usage unique.
En effet, c’est le conseil que Coinbase donne à ses clients. Daniel Romero, vice-président des opérations chez Coinbase, a déclaré à Forbes que la société a conseillé à ses clients de passer du 2FA par SMS à des applications comme Google Authenticator, par exemple :
De plus, nous avons amélioré nos propres systèmes de surveillance pour prévenir les menaces de sécurité liées au téléphone. Nous continuons à surveiller ce risque avec la plus grande vigilance.
Mais, comme le note Paul, éviter les codes 2FA par SMS n’est pas non plus la solution idéale :
Les malwares sur votre téléphone peuvent contraindre l’application d’authentification à générer le prochain jeton, et ce sans que vous le sachiez. De plus, les cybercriminels potentiels peuvent même aller jusqu’à vous téléphoner, afin de vous inciter à leur fournir le prochain code de connexion, prétendant alors qu’ils réalisent des “contrôles anti-fraude”.
En cas de doute, ne donnez rien !
Pour en savoir plus sur les dangers des SIM Swaps et les mesures à prendre pour vous protéger, découvrez notre article : Le SIM swap, une fraude qui peut vider vos comptes : quoi faire ?
Billet inspiré de Why SMS two-factor authentication puts your bitcoins at risk, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.