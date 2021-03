L’authentification à deux facteurs, et la vérification par SMS OTP en particulier, est le moyen le plus populaire de valider les transactions en Inde. De la connexion à des comptes bancaires et de paiement numériques, à l’approbation de transactions en ligne ou au transfert d’argent entre comptes bancaires, ces messages OTP sont la bouée de sauvetage de la plupart des transactions en ligne dans le pays. Au fil du temps, cependant, de nombreux chercheurs en sécurité ont soulevé des signaux d’alarme sur les problèmes de sécurité que représente la vérification OTP dans les procédures d’authentification à deux facteurs. Cela a encore une fois été mis en évidence dans les travaux d’un pirate informatique éthique, qui pouvait silencieusement appuyer sur le téléphone d’un journaliste – le tout avec un minimum d’effort et dépensant un peu plus de 1000 roupies.

Le vice-journaliste Joseph Cox, en partenariat avec le pirate informatique sous le pseudonyme de Lucky225, a révélé dans un rapport que tout ce qu’il fallait à un attaquant volontaire était juste cela – l’intention de nuire ou de voler un autre utilisateur. Pour initier ce hack, Lucky225 s’est simplement abonné à un plan d’essai proposé par une société appelée Sakari. L’abonnement au plan lui a coûté 16 $ (environ Rs 1.200), après quoi tout ce qu’il avait à faire était de remplir une lettre d’autorisation (LoA) avec des informations arbitraires et fausses, et en quelques minutes seulement, il a eu accès à toutes les fonctionnalités de messagerie SMS entrantes et sortantes qui appartenaient au numéro de téléphone de Cox.

Arnaques d’échange OTP en Inde?

La même chose, en l’occurrence, peut également s’appliquer en Inde. Un ancien chercheur en cybersécurité qui a passé les premières années de sa carrière en tant que pirate informatique en Inde a déclaré à News18 que non seulement ces services sont très courants, mais qu’ils peuvent être assez faciles à utiliser même pour ceux qui n’ont pas une connaissance avancée de la technologie. Cependant, il doute que la neutralisation des SMS soit activement utilisée dans les campagnes de phishing courantes en Inde, car ce processus nécessite généralement plus d’investissement que les appels d’escroquerie en masse génériques en Inde. Au lieu de cela, il est généralement utilisé dans des campagnes de diffamation malveillantes dans des cas tels que la vendetta personnelle entre deux parties. News18 n’a pas encore pu confirmer si de telles escroqueries OTP sont utilisées trop largement dans le réseau de phishing en Inde. Deux chercheurs indépendants en sécurité avec lesquels News18 s’est entretenu ont déclaré qu’ils n’avaient pas une connaissance active de ce processus utilisé dans les escroqueries à travers l’Inde pour le moment.

Ce qui est alarmant à noter ici, c’est que, par rapport à l’échange de cartes SIM et à d’autres cyberattaques connexes où un utilisateur perd l’accès à son réseau et est donc alerté d’une activité inhabituelle sur son téléphone, le processus Sakari testé par Lucky225 et Cox dans le rapport Vice aucun drapeau rouge n’a été soulevé. Ce dernier avait toujours une couverture réseau sur son téléphone, et étant donné que nous ne communiquons plus principalement via la messagerie SMS, beaucoup peuvent même ne pas remarquer qu’ils ont cessé de recevoir des SMS. C’est exactement ce qui s’est passé avec Cox. Des sources avec lesquelles News18 s’est entretenu ont déclaré que c’est également ainsi que cela fonctionne en Inde.

Comment le hack a fonctionné

Dans ce hack, lorsque Lucky225 a rempli la LoA avec Sakari et entré le numéro de Cox, son service de boîte de réception SMS a été remplacé par Sakari. En conséquence, tous les messages SMS de Cox ont simplement été redirigés vers la boîte de réception de Lucky225. Cela a non seulement donné à ce dernier accès aux OTP bancaires appartenant à Cox, mais également aux OTP de connexion de services populaires tels que WhatsApp et Bumble, entre autres. Cela lui a également permis de se connecter à ces services sans l’autorisation de Cox et d’envoyer des SMS à ses contacts en se faisant passer pour lui.

Il n’y a pas de protocole mondial standardisé pour le transfert et le réacheminement des SMS, ce qui rend ces hacks de plus en plus possibles.

Sakari, en l’occurrence, prétend être un service de gestion de messagerie en masse pour les entreprises, comme il en existe de nombreux. Il permet essentiellement aux entreprises de donner accès à leurs numéros privés pour envoyer des messages au nom de numéros professionnels autorisés, rationalisant ainsi le fonctionnement. En revanche, cela signifie également apparemment que le transfert de numéro se produit sans qu’aucune partie intermédiaire – comme le propriétaire des deux numéros en question – n’autorise ce transfert de numéro. C’est là que tout le problème se produit. Sakari est une organisation plus petite qui n’a pas sa propre autorisation de réaffectation de numéro, mais qui utilise la même chose d’une autre société, Bandwidth. Ce dernier, à son tour, autorise son acheminement du trafic via NetNumber – qui possède une base de données Override Service Registry.

La hiérarchie des entreprises variera en fonction de la partie du monde dans laquelle vous vous trouvez, mais la structure essentielle de ces opérations d’attribution de numéros et de réaffectation reste la même à l’échelle mondiale. Karsten Nohl de Security Research Labs a déclaré à Vice que le vrai problème ici est qu’il n’y a pas de protocole mondial standardisé pour le transfert et le réacheminement des SMS, de sorte que les opérateurs et leurs équations de gestion de hub SMS continuent de différer.

Les SMS OTP doivent être interrompus

En l’absence de couche de vérification en raison du fonctionnement de la messagerie en masse, les hacks de suppression de SMS peuvent (et devraient) être un dernier clou dans le cercueil pour l’authentification à deux facteurs basée sur les services SMS OTP. Des combinaisons telles que la définition d’un mot de passe fixe à deux facteurs (comme le fonctionnement de WhatsApp), ou la livraison de celui-ci par e-mail en combinaison avec de tels mots de passe, sont beaucoup plus sûres que les messages SMS OTP et nécessitent une refonte de la plupart des procédures de connexion que la plupart des services. entreprendre.