Un simple numéro de téléphone peut permettre de pirater un comple, mais à deux conditions : être très malveillant et récupérer rapidement l’ancien numéro de téléphone qui protégeait le compte par l’authentification à double facteur. © Tierney, Adobe Stock
Tech

Des comptes Internet ont été piratés via un numéro de téléphone recyclé

ActualitéClassé sous :Sécurité , smartphone , SMS

[EN VIDÉO] Kézako : comment crypte-t-on les données sur Internet ?  La cryptographie est la plus ancienne forme de chiffrement. On trouve des traces de son utilisation jusqu'en 2.000 avant J.-C. Cette technique encore utilisée aujourd’hui, notamment sur le Web, dévoile ses mystères en vidéo grâce au programme Kézako d'Unisciel et de l'université Lille 1. 

Pas besoin de malware ou de faille... Des experts ont réussi à pirater des comptes Web populaires protégés par un système d'authentification à double facteur simplement grâce à un numéro de téléphone recyclé.

Prendre possession d'un compte malgré l'authentification à double facteurvia un code reçu par SMS, ce n'est pas aussi compliqué qu'il y paraît, mais c'est quand même assez vicieux. C'est ce que vient de révéler une nouvelle étude menée par des chercheurs de l'Université de Princeton aux États-Unis. Pas besoin de dénicher une faille quelconque, un simple numéro de téléphone suffit. Mais attention, pour que cela marche, il faut que le propriétaire de ce compte change de numéro de téléphone et que l'on puisse récupérer son ancien.

Toute l'arnaque repose sur la gestion des anciens numéros de téléphone par les opérateurs. Plutôt que de le supprimer, ces derniers réattribuent l'ancien numéro à un nouvel abonné afin de ralentir la génération de nouveaux numéros et finir par arriver à court de 06 et maintenant de 07 pour le cas français. Or, selon les chercheurs, lorsque l'on abandonne un numéro de téléphone, celui-ci reste souvent lié par inattention au système de protection à double facteur. Ainsi, les auteurs de l'étude ont découvert que sur 259 numéros de téléphone disponibles pour les nouveaux abonnés chez deux grands opérateurs américains, 171 étaient toujours liés à des comptes existants sur des sites Web populaires. Mais alors, avec cette information comment pirater le compte du nouveau propriétaire ?

Pour réussir : de la chance alliée à beaucoup de malveillance

Pour le savoir, voici le scénario invraisemblable qui pourrait mener au piratage d'un compte. Le plus important, c'est d'être de nature particulièrement malveillante. Ensuite, il faut prendre une nouvelle ligne de téléphone dont le numéro est recyclé. L'étape suivante consiste à utiliser un moteur de recherche pour retrouver le nom de l'ancien propriétaire de ce numéro et éventuellement ses adresses e-mails qui servent d'identifiant. Et ce n'est pas si compliqué, puisque pour parvenir à se connecter au compte, l'étude montre que sur son échantillon, 100 des numéros de téléphones recyclés permettaient de retrouver des informations assurant la première étape de connexion.

Pour terminer, le sésame du compte tombe de lui-même via un message sur le mobile, puisque l'ancien propriétaire est dépossédé de son numéro de téléphone. C'est assez vicieux certes, mais, selon les chercheurs, rien que le fait de recevoir des notifications de connexion sur un nouveau numéro de téléphone pourrait inciter certaines personnes peu ordinaires à se lancer dans cette méthode de piratage. Menace crédible ou pas, avant de changer de numéro, vaut mieux penser à mettre à jour les paramètres d'authentification SMS à double facteur sur l'ensemble de ses comptes.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !