Les entreprises utilisant les SMS pour se connecter à leur compte, comme Apple, Dropbox, PayPal, Block, Google, devraient être tenues responsables des attaques par substitution de carte SIM

Les attaques par échange de cartes SIM se poursuivent année après année parce que des entreprises (qui savent mieux que quiconque) ont adopté l'idée horrible d'utiliser les SMS pour réinitialiser les mots de passe et se connecter à des comptes. Parmi ces entreprises figurent Apple, Dropbox, PayPal, Block, Google et bien d'autres.

Qu'est-ce qu'une attaque par substitution de carte SIM ? Il s'agit d'une attaque par laquelle un malfaiteur demande à un opérateur de transférer votre numéro de téléphone portable sur son propre téléphone. (Les opérateurs sont tenus de porter votre numéro facilement en raison des lois pro-concurrence en vigueur aux États-Unis). Ensuite, l'escroc déclenche et reçoit des informations de connexion à un compte par SMS de la part des entreprises et procède au vol de l'argent et des informations sensibles de la victime. Cela arrive tout le temps... Voici quelques-uns des cas les plus médiatisés :


Existe-t-il un moyen d'empêcher les attaques par échange de cartes SIM ? Oui, c'est simple : Les entreprises NE DOIVENT PAS LAISSER LE CLIENT SE CONNECTER par SMS, ni autoriser la réinitialisation du mot de passe par SMS. Si le 2FA par SMS est proposé, ce ne doit être que s'il existe des options plus sûres comme Authy ou Google Authenticator (et le SMS ne doit jamais servir de solution de secours pour la récupération d'un compte).

Pendant de nombreuses années, les acteurs du secteur ont invariablement dit quelque chose comme : "Eh bien... offrir une authentification par SMS est mieux *globalement* pour la sécurité des clients, en raison de sa commodité (malgré ses défauts) par rapport à d'autres méthodes" (comme l'utilisation beaucoup plus sûre de l'e-mail pour la vérification). À cela, je réponds "Qui êtes-vous pour priver vos clients de sécurité ?" La défense contre les attaques ciblées doit faire partie intégrante du dispositif de défense de toute entreprise. Il est tellement arrogant de dire le contraire, et cela me fait bouillir le sang, vraiment. Proposer des connexions par SMS est une mauvaise idée, qui n'a jamais eu la moindre chance d'être une bonne idée.

Envoyer un SMS à un client, c'est comme envoyer une carte postale par la poste. Il s'agit d'un texte en clair (non crypté), et n'importe qui peut ouvrir votre boîte aux lettres et l'intercepter/le lire (ce qui se produit lors d'une attaque par substitution de carte SIM). Le protocole n'a jamais été conçu pour être sécurisé.

Le SMS est-il la meilleure option pour la réinitialisation des mots de passe ? NON ! La réinitialisation des mots de passe par e-mail est bien plus sûre. Le SMS est-il une bonne option pour le 2FA ? Non ! Des applications comme Authy ou l'utilisation de l'e-mail sont préférables. Est-ce que le fait de connecter votre client par SMS est acceptable ? Non ! [Après avoir lu les commentaires de Hacker News, permettez-moi d'être clair - je ne parle pas seulement du 2FA par SMS, en fait je parle surtout de l'omniprésence de la réinitialisation des mots de passe par SMS, de l'intégration des utilisateurs et de la récupération des comptes. Tous ces éléments sont plus ou moins faibles. Le 2FA par SMS est, lorsqu'il est proposé en option avec un 2FA plus fort, le moins mauvais des scénarios de sécurité faible, mais ce n'est pas l'objet de cet article].

Une grande partie de l'ire suscitée par les attaques par substitution de carte SIM a, à juste titre, été dirigée contre les opérateurs. En effet, ces derniers font un travail terrible pour sécuriser les numéros de téléphone de leurs clients et peuvent être tenus pour responsables de cette lacune. Mais le fait est que la sécurité des opérateurs a toujours été mauvaise, qu'elle a même été rendue mauvaise par la loi, et que d'autres entreprises ont quand même choisi de construire des systèmes critiques sur la base de ce maillon faible.

Malgré sa banalisation, il est important de rappeler que l'intégration des SMS dans les flux d'authentification a été un choix terrible et peu perspicace de la part des entreprises. Malgré une sécurité médiocre, les SMS offrent un moyen presque sans friction d'inscrire de nouveaux clients (pensez à l'onboarding d'Uber) et de gérer les réinitialisations de mot de passe, et les entreprises ont estimé qu'elles devaient s'aligner sur l'adoption de cette technique par leurs concurrents. Elles ont creusé le trou, nous y ont poussés et doivent maintenant nous en faire sortir.

Les entreprises adoptent la perspective naïve que, d'une manière ou d'une autre, les escrocs ne feront pas assez d'efforts pour échanger des individus contre des SIM. Il est clair que les criminels le feront, allant même jusqu'à se faire passer pour des clients dans les magasins. Il est temps pour eux de mettre fin à cette expérience. Elle a échoué.

Et je suis désolé, mais après près d'une décennie, nous pouvons l'affirmer : les efforts visant à renforcer les protocoles de téléphonie comme SHAKEN/STIR n'aboutiront jamais. Si la volonté avait existé dans l'industrie, cela se serait produit il y a 5 ans. Les promesses d'amélioration des protocoles n'ont jamais été (et ne sont certainement pas aujourd'hui) une excuse satisfaisante pour continuer à envoyer des codes de réinitialisation de mot de passe par SMS. De même, un protocole renforcé n'empêcherait même pas les attaques par échange de cartes SIM. Des personnes sont lésées jour après jour, tandis que l'industrie reste dans l'équivoque. [L'initiative "Sim Verify" de l'Union européenne vaut la peine d'être examinée].

Si les attaques par échange de cartes SIM sont courantes et font la une des journaux, les SMS sont également vulnérables aux attaques de type "man-in-the-middle". Celles-ci sont probablement menées fréquemment par des États-nations. Le fait que les États-nations puissent abuser de la vérification des SMS peut même expliquer une partie de l'inertie générale qui permet à un système défectueux de perdurer.

Si j'ai l'air de m'enflammer, c'est parce que cela fait plus de sept ans que j'insiste sur ce point. D'autres ont écrit sur le sujet il y a des années, et pourtant les attaques par échange de cartes SIM se poursuivent sans relâche. Je suis frustré parce que beaucoup de ces entreprises se targuent d'accorder la priorité à la sécurité de leurs clients. Je suis en colère parce que, parmi tous les problèmes insolubles auxquels la technologie est confrontée aujourd'hui, comme les deepfakes (y compris les deepfakes audio dont j'ai parlé ici) et la désinformation, celui-ci est l'un de ceux qui peuvent être résolus, et pourtant rien (de concret) n'est fait. Nous avons besoin d'une victoire, et en voici une à prendre !

Je le répète : si une personne quelconque convainc T-Mobile, AT&T, Verizon, etc. de porter mon numéro, MA SÉCURITÉ NUMÉRIQUE NE DEVRAIT PAS ÊTRE PORTÉE AUSSI.

Comment les entreprises ont adopté cette technologie défaillante

Apple :

Apple a contribué à sceller le rôle des SMS dans les réinitialisations de mots de passe et les connexions de comptes via sa fonctionnalité de clavier annoncée en 2018 : Remplir automatiquement les codes de passe SMS sur l'iPhone . Cela permet également des scénarios où les SMS peuvent être utilisés pour réinitialiser votre compte Apple.

Google :

En 2019, Google a suivi la mauvaise idée d'Apple avec la même chose pour Android, le remplissage automatique par SMS pour les codes à usage unique.

Fournisseurs de cloud comme Twilio/Amazon/Microsoft/Google, etc :

Il existe un vaste complexe industriel derrière les codes SMS. De nombreuses entreprises sont incitées à faire des bénéfices pour continuer à offrir des codes SMS à usage unique à leurs clients. Azure, AWS, Twilio, Google, etc. La vente de ces services est contraire à l'éthique. Il s'agit d'une technologie fondamentalement défaillante, vendue comme une solution sécurisée.

Services de gestion de l'argent

Aussi incroyable que cela puisse paraître, la fonctionnalité de réinitialisation par SMS et de connexion à un compte est totalement omniprésente, même lorsqu'il s'agit de votre argent, de même que le 2FA par SMS et la récupération de compte : Wells Fargo, Cash App (Block), Robinhood, Schwab, Paypal, Bank of America, etc. Encore une fois, il s'agit d'options SMS proposées pour "vérifier qu'il s'agit bien de vous", ce que les escrocs qui échangent des cartes SIM adorent entendre. De plus, ne changez jamais votre numéro de téléphone par inadvertance, vous serez bloqué sur votre PayPal !

Pratiquement toutes les autres entreprises à l'heure actuelle :

Des services de commande de nourriture aux réseaux sociaux, en passant par les entreprises de stockage de données comme Dropbox, les SMS sont malheureusement, par défaut, un moyen de réinitialiser votre compte. S'il existe un moyen de le désactiver, c'est à vous, l'utilisateur, qu'il incombe de vous inscrire et de vous désinscrire - service par service - et de désactiver cette technologie pourrie. De nombreux services ne proposent pas d'option de désactivation.

Les clients pensent qu'ils aiment les options de réinitialisation par SMS

Les clients ne comprennent pas que les réinitialisations par SMS ne sont pas efficaces. Ce n'est pas leur rôle. Ils apprécient le fait que c'est plus pratique que les réinitialisations par e-mail (une option réellement sécurisée) ou les codes de connexion 2FA via des applications 2FA comme Authy. Le remplissage automatique par SMS de l'iPhone est souvent présenté (de manière douteuse) comme la meilleure chose d'iOS. Le problème est le suivant : ce n'est pas au client de comprendre si les systèmes sont sécurisés, c'est aux entreprises technologiques de le faire.

Et les entreprises technologiques ont échoué, laissant tous leurs clients exposés dans le processus.

Il faut espérer qu'une combinaison de procès et de législation finira par changer le statu quo. En attendant, les entreprises doivent faire preuve de courage et reconnaître la situation pour ce qu'elle est : un spectacle affreux. Et revenir sur leur soutien aux services de vérification par SMS.