Les pirates peuvent saisir pratiquement tous vos comptes en ligne et c’est la faute de votre messagerie vocale.

Qui aurait pensé que finalement, ce serait une simple boîte vocale qui serait la porte d’entrée du pirate ?

Vos comptes Google, Microsoft, Apple, WhatsApp et même Signal ont tous un talon d’Achille, le même, en fait. Et il se trouve que si vous ne faites pas attention, un pirate informatique pourrait utiliser cette faiblesse pour reprendre votre identité en ligne.

Martin Vigo un chercheur en sécurité s’adressant à un groupe enthousiaste de pirates informatiques et de chercheurs en sécurité lors de la convention annuelle DEF CON à Las Vegas. Vigo a expliqué comment il a réussi à réinitialiser les mots de passe d’un large éventail de comptes en ligne à partir d’une messagerie vocale.

Vous voyez, a-t-il expliqué à la foule, lorsque vous demandez une réinitialisation du mot de passe sur des services tels que WhatsApp, vous avez la possibilité de demander à recevoir un appel avec le code de réinitialisation. Si vous manquez l’appel téléphonique, le service automatisé laissera un message avec le code.

Mais qu’en est-il si vous n’essayiez pas de réinitialiser votre mot de passe, mais qu’il s’agit en fait d’un pirate ? Et si ce pirate avait également accès à votre messagerie vocale ?

Voici l’exemple : Vigo a écrit un script automatisé qui peut pratiquement pirater la plupart des mots de passe de la messagerie vocale sans que le propriétaire du téléphone ne le sache jamais. Avec cet accès, vous pouvez obtenir le code de réinitialisation du mot de passe d’un compte en ligne et par conséquent, le contrôle du compte lui-même.

Et non, votre authentification à deux facteurs n’empêchera pas un pirate de réinitialiser votre mot de passe.

L’une des diapositives de Vigo présente la structure de base de l’attaque :

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée.

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d’appels, OSINT, HLR)

3. Lancez le processus de réinitialisation du mot de passe en utilisant la fonction « Appelez-moi »

4. Écoutez le message enregistré contenant le code secret

5. Bingo!

Une démo enregistrée qu’il a jouée sur scène a montré une variation de cette attaque sur un compte PayPal.

« Dans trois, deux, un, boum, le voilà », a déclaré Vigo aux applaudissements du public. « Nous venons de pirater PayPal. »

Vigo a pris soin de noter qu’il avait divulgué de manière responsable les vulnérabilités aux entreprises concernées, mais qu’il avait reçu une réponse moins que satisfaisante de la part de nombreuses personnes. Il prévoit de publier une version modifiée de son code à Github lundi.

Notamment, il nous assure qu’il a modifié le code pour que les chercheurs puissent vérifier que cela fonctionne, mais aussi pour que les scripteurs ne puissent pas commencer à réinitialiser les mots de passe de gauche à droite.

Alors, maintenant que nous savons que cette menace existe, que pouvons-nous faire pour nous protéger ? Heureusement, Vigo a quelques suggestions.

Avant tout, désactivez votre messagerie vocale. Si vous ne pouvez pas le faire pour quelque raison que ce soit, utilisez le code PIN le plus long possible, également aléatoire. Ensuite, essayez de ne pas fournir votre numéro de téléphone aux services en ligne, sauf si vous devez absolument le faire pour 2FA. En général, essayez d’utiliser des applications d’authentification sur les systèmes 2FA basés sur SMS.

Mais, la plus efficace de ces options est de fermer complètement votre messagerie vocale.

A lire aussi : Pourquoi la biométrie vocale mettra fin à l’ère du mot de passe ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage