Les attaques par change de cartes SIM se poursuivent anne aprs anne parce que des entreprises (qui savent mieux que quiconque) ont adopt l’ide horrible d’utiliser les SMS pour rinitialiser les mots de passe et se connecter des comptes. Parmi ces entreprises figurent Apple, Dropbox, PayPal, Block, Google et bien d’autres.
Qu’est-ce qu’une attaque par substitution de carte SIM ? Il s’agit d’une attaque par laquelle un malfaiteur demande un oprateur de transfrer votre numro de tlphone portable sur son propre tlphone. (Les oprateurs sont tenus de porter votre numro facilement en raison des lois pro-concurrence en vigueur aux tats-Unis). Ensuite, l’escroc dclenche et reoit des informations de connexion un compte par SMS de la part des entreprises et procde au vol de l’argent et des informations sensibles de la victime. Cela arrive tout le temps… Voici quelques-uns des cas les plus mdiatiss :
Existe-t-il un moyen d’empcher les attaques par change de cartes SIM ? Oui, c’est simple : Les entreprises NE DOIVENT PAS LAISSER LE CLIENT SE CONNECTER par SMS, ni autoriser la rinitialisation du mot de passe par SMS. Si le 2FA par SMS est propos, ce ne doit tre que s’il existe des options plus sres comme Authy ou Google Authenticator (et le SMS ne doit jamais servir de solution de secours pour la rcupration d’un compte).
Pendant de nombreuses annes, les acteurs du secteur ont invariablement dit quelque chose comme : « Eh bien… offrir une authentification par SMS est mieux *globalement* pour la scurit des clients, en raison de sa commodit (malgr ses dfauts) par rapport d’autres mthodes » (comme l’utilisation beaucoup plus sre de l’e-mail pour la vrification). cela, je rponds « Qui tes-vous pour priver vos clients de scurit ? » La dfense contre les attaques cibles doit faire partie intgrante du dispositif de dfense de toute entreprise. Il est tellement arrogant de dire le contraire, et cela me fait bouillir le sang, vraiment. Proposer des connexions par SMS est une mauvaise ide, qui n’a jamais eu la moindre chance d’tre une bonne ide.
Envoyer un SMS un client, c’est comme envoyer une carte postale par la poste. Il s’agit d’un texte en clair (non crypt), et n’importe qui peut ouvrir votre bote aux lettres et l’intercepter/le lire (ce qui se produit lors d’une attaque par substitution de carte SIM). Le protocole n’a jamais t conu pour tre scuris.
Le SMS est-il la meilleure option pour la rinitialisation des mots de passe ? NON ! La rinitialisation des mots de passe par e-mail est bien plus sre. Le SMS est-il une bonne option pour le 2FA ? Non ! Des applications comme Authy ou l’utilisation de l’e-mail sont prfrables. Est-ce que le fait de connecter votre client par SMS est acceptable ? Non ! [Aprs avoir lu les commentaires de Hacker News, permettez-moi d’tre clair – je ne parle pas seulement du 2FA par SMS, en fait je parle surtout de l’omniprsence de la rinitialisation des mots de passe par SMS, de l’intgration des utilisateurs et de la rcupration des comptes. Tous ces lments sont plus ou moins faibles. Le 2FA par SMS est, lorsqu’il est propos en option avec un 2FA plus fort, le moins mauvais des scnarios de scurit faible, mais ce n’est pas l’objet de cet article].
Une grande partie de l’ire suscite par les attaques par substitution de carte SIM a, juste titre, t dirige contre les oprateurs. En effet, ces derniers font un travail terrible pour scuriser les numros de tlphone de leurs clients et peuvent tre tenus pour responsables de cette lacune. Mais le fait est que la scurit des oprateurs a toujours t mauvaise, qu’elle a mme t rendue mauvaise par la loi, et que d’autres entreprises ont quand mme choisi de construire des systmes critiques sur la base de ce maillon faible.
Malgr sa banalisation, il est important de rappeler que l’intgration des SMS dans les flux d’authentification a t un choix terrible et peu perspicace de la part des entreprises. Malgr une scurit mdiocre, les SMS offrent un moyen presque sans friction d’inscrire de nouveaux clients (pensez l’onboarding d’Uber) et de grer les rinitialisations de mot de passe, et les entreprises ont estim qu’elles devaient s’aligner sur l’adoption de cette technique par leurs concurrents. Elles ont creus le trou, nous y ont pousss et doivent maintenant nous en faire sortir.
Les entreprises adoptent la perspective nave que, d’une manire ou d’une autre, les escrocs ne feront pas assez d’efforts pour changer des individus contre des SIM. Il est clair que les criminels le feront, allant mme jusqu’ se faire passer pour des clients dans les magasins. Il est temps pour eux de mettre fin cette exprience. Elle a chou.
Et je suis dsol, mais aprs prs d’une dcennie, nous pouvons l’affirmer : les efforts visant renforcer les protocoles de tlphonie comme SHAKEN/STIR n’aboutiront jamais. Si la volont avait exist dans l’industrie, cela se serait produit il y a 5 ans. Les promesses d’amlioration des protocoles n’ont jamais t (et ne sont certainement pas aujourd’hui) une excuse satisfaisante pour continuer envoyer des codes de rinitialisation de mot de passe par SMS. De mme, un protocole renforc n’empcherait mme pas les attaques par change de cartes SIM. Des personnes sont lses jour aprs jour, tandis que l’industrie reste dans l’quivoque. [L’initiative « Sim Verify » de l’Union europenne vaut la peine d’tre examine].
Si les attaques par change de cartes SIM sont courantes et font la une des journaux, les SMS sont galement vulnrables aux attaques de type « man-in-the-middle ». Celles-ci sont probablement menes frquemment par des tats-nations. Le fait que les tats-nations puissent abuser de la vrification des SMS peut mme expliquer une partie de l’inertie gnrale qui permet un systme dfectueux de perdurer.
Si j’ai l’air de m’enflammer, c’est parce que cela fait plus de sept ans que j’insiste sur ce point. D’autres ont crit sur le sujet il y a des annes, et pourtant les attaques par change de cartes SIM se poursuivent sans relche. Je suis frustr parce que beaucoup de ces entreprises se targuent d’accorder la priorit la scurit de leurs clients. Je suis en colre parce que, parmi tous les problmes insolubles auxquels la technologie est confronte aujourd’hui, comme les deepfakes (y compris les deepfakes audio dont j’ai parl ici) et la dsinformation, celui-ci est l’un de ceux qui peuvent tre rsolus, et pourtant rien (de concret) n’est fait. Nous avons besoin d’une victoire, et en voici une prendre !
Je le rpte : si une personne quelconque convainc T-Mobile, AT&T, Verizon, etc. de porter mon numro, MA SCURIT NUMRIQUE NE DEVRAIT PAS TRE PORTE AUSSI.
Comment les entreprises ont adopt cette technologie dfaillante
Apple :
Apple a contribu sceller le rle des SMS dans les rinitialisations de mots de passe et les connexions de comptes via sa fonctionnalit de clavier annonce en 2018 : Remplir automatiquement les codes de passe SMS sur l’iPhone . Cela permet galement des scnarios o les SMS peuvent tre utiliss pour rinitialiser votre compte Apple.
Google :
En 2019, Google a suivi la mauvaise ide d’Apple avec la mme chose pour Android, le remplissage automatique par SMS pour les codes usage unique.
Fournisseurs de cloud comme Twilio/Amazon/Microsoft/Google, etc :
Il existe un vaste complexe industriel derrire les codes SMS. De nombreuses entreprises sont incites faire des bnfices pour continuer offrir des codes SMS usage unique leurs clients. Azure, AWS, Twilio, Google, etc. La vente de ces services est contraire l’thique. Il s’agit d’une technologie fondamentalement dfaillante, vendue comme une solution scurise.
Services de gestion de l’argent
Aussi incroyable que cela puisse paratre, la fonctionnalit de rinitialisation par SMS et de connexion un compte est totalement omniprsente, mme lorsqu’il s’agit de votre argent, de mme que le 2FA par SMS et la rcupration de compte : Wells Fargo, Cash App (Block), Robinhood, Schwab, Paypal, Bank of America, etc. Encore une fois, il s’agit d’options SMS proposes pour « vrifier qu’il s’agit bien de vous« , ce que les escrocs qui changent des cartes SIM adorent entendre. De plus, ne changez jamais votre numro de tlphone par inadvertance, vous serez bloqu sur votre PayPal !
Pratiquement toutes les autres entreprises l’heure actuelle :
Des services de commande de nourriture aux rseaux sociaux, en passant par les entreprises de stockage de donnes comme Dropbox, les SMS sont malheureusement, par dfaut, un moyen de rinitialiser votre compte. S’il existe un moyen de le dsactiver, c’est vous, l’utilisateur, qu’il incombe de vous inscrire et de vous dsinscrire – service par service – et de dsactiver cette technologie pourrie. De nombreux services ne proposent pas d’option de dsactivation.
Les clients pensent qu’ils aiment les options de rinitialisation par SMS
Les clients ne comprennent pas que les rinitialisations par SMS ne sont pas efficaces. Ce n’est pas leur rle. Ils apprcient le fait que c’est plus pratique que les rinitialisations par e-mail (une option rellement scurise) ou les codes de connexion 2FA via des applications 2FA comme Authy. Le remplissage automatique par SMS de l’iPhone est souvent prsent (de manire douteuse) comme la meilleure chose d’iOS. Le problme est le suivant : ce n’est pas au client de comprendre si les systmes sont scuriss, c’est aux entreprises technologiques de le faire.
Et les entreprises technologiques ont chou, laissant tous leurs clients exposs dans le processus.
Il faut esprer qu’une combinaison de procs et de lgislation finira par changer le statu quo. En attendant, les entreprises doivent faire preuve de courage et reconnatre la situation pour ce qu’elle est : un spectacle affreux. Et revenir sur leur soutien aux services de vrification par SMS.