TUTORIEL

Pourquoi il faut désactiver régulièrement la messagerie vocale

Comme les pirates ne dorment plus entré de chercher comment pirater votre service de messagerie il ne faut jamais faire confiance à votre service de messagerie.

Voici la réponse à la question.

Il ne faut pas faire confiance au service de messagerie car un pirate peut facilement y accéder et l’utiliser comme tremplin pour accéder à d’autres services en ligne, par le biais de la procédure de récupération de comptes.

Si vous êtes un parano – comme votre serviteur -, vous avez certainement activé l’authentification à double facteur sur vos services en ligne les plus sensibles. Et vous pensez certainement être bien protégé. Mais avez-vous pensé à la messagerie vocale de votre mobile ? En effet, certains services en ligne peuvent vous appeler pour vous communiquer un code de récupération de compte, pour le cas où vous auriez oublié votre mot de passe ou perdu votre second facteur, ou les deux. Si vous ne répondez pas à cet appel, ce code est enregistré automatiquement sur la messagerie vocale. Or, celle-ci est souvent très mal sécurisée, comme vient de le constater le chercheur en sécurité Martin Vigo, à l’occasion de la conférence 35C3 du Chaos Computer Club.

75c402b3a92c59e5040d0e4040ed4 - Pourquoi il faut désactiver régulièrement la messagerie vocale 35C3 (Creative Commons) –

A lire aussi: Gmail se refait une beauté ux sur mobile

Attaques réussies sur WhatsApp et PayPal

Invité à une conférence allemande, Martin Vigo s’est ainsi attaqué à Deutsche Telekom. Celui-ci détecte les attaques par force brute en bloquant le numéro de l’appelant. Le hacker s’est alors appuyé sur le Twilio, un service d’appels automatisés, pour générer un grand nombre de coups de fil provenant à chaque fois d’un numéro différent. En utilisant un dictionnaire de mots de passe, il ne lui a fallu que quelques minutes pour retrouver le code secret de la personne ciblée.

35C3 (Creative Commons) – messagerie

messagerie

Lorsqu’un pirate détient le code d’accès à la messagerie vocale, tout ce qu’il lui reste à faire, c’est d’initier la récupération du compte en ligne à un moment où l’abonné ne répond pas : la nuit quand il dort, lorsqu’il est dans un avion ou sur un bateau, quand il est au cinéma ou au théâtre, etc. Et hop, il peut s’emparer du code de récupération et le tour est joué. A l’occasion de la conférence, Martin Vigo a montré que cette méthode fonctionnait parfaitement avec WhatsApp.

messagerie

35C3 (Creative Commons) – messagerie

Cette méthode fonctionne aussi avec PayPal, avec une petite variante. Là encore, le service financier propose la récupération du compte au travers d’un appel téléphonique. Mais celui-ci ne sert pas à communiquer le code de confirmation, mais à confirmer celui que la page web va afficher. L’idée est alors de remplacer le message d’accueil de la messagerie vocale par les sons DTMF (dual-tone multi-frequency) correspondants au code numérique affiché et de refaire l’appel. Bingo, ça marche ! Au passage, le chercheur en sécurité a ressenti une certaine fierté à remettre au goût du jour un vecteur d’attaque vieux comme la téléphonie, celui des fréquences vocales.

2526292eca1583bf7af8ea985eb04 - Pourquoi il faut désactiver régulièrement la messagerie vocale35C3 (Creative Commons) –

WhatsApp et PayPal ne sont pas les seuls services à s’appuyer sur des appels téléphoniques dans le cadre d’une procédure de sécurité. Le chercheur a également identifié eBay, Netflix, Snapchat, LinkedIn et Signal comme des cibles potentielles. Au final, que faut-il faire ? Malheureusement, le chercheur en sécurité n’a pas eu l’occasion de tester la sécurité des messageries vocales des opérateurs français. A l’heure actuelle, on ne sait donc pas si cette attaque pourrait fonctionner en France. Pour éviter le risque, l’idéal est donc de désactiver totalement la messagerie vocale. De toute façon, soyons honnêtes, on peut très s’en passer, vu le nombre de messageries instantanées qui existent aujourd’hui.

Afficher plus

Amazias Matendo

Jeune Entrepreneur et Informaticien, Ingénieur en génie et gestion de télécommunication.Très simple humble et sérieux.

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page
Fermer
%d blogueurs aiment cette page :