De l’adresse e-mail au numéro de téléphone, une nouvelle approche OSINT (2019)

 (martinvigo.com)
1 points par GN⁺ 2023-11-18 | 1 commentaires | Partager sur WhatsApp

Résumé : de l’adresse e-mail au numéro de téléphone, une nouvelle approche OSINT

  • Des recherches récentes ont été menées sur les faiblesses des options de réinitialisation de mot de passe et les vecteurs d’attaque associés

  • Présentation à la BSides Las Vegas d’un outil nommé "Ransombile", qui automatise la réinitialisation de mot de passe par SMS et facilite les attaques ciblées contre des appareils mobiles verrouillés physiquement accessibles

  • À la DEF CON et au CCC, le problème des réinitialisations de mot de passe par téléphone via les failles des systèmes de messagerie vocale a également été soulevé

  • Il a été constaté que, lors de la réinitialisation d’un mot de passe, certains chiffres du numéro de téléphone s’affichent partiellement dans l’interface

  • Il n’existe pas de norme entre les sites web pour masquer les informations d’identification personnelle (PII)

  • Par exemple, dans le cas de PayPal, le simple fait de connaître l’adresse e-mail permet d’obtenir 5 des 10 chiffres du numéro de téléphone

Enquête approfondie

  • Établissement et examen d’une liste de sites web populaires permettant d’initier une réinitialisation de mot de passe avec la seule adresse e-mail
  • Par exemple, si une personne possède des comptes eBay et LastPass, un attaquant peut découvrir 7 chiffres de son numéro de téléphone en ne connaissant que son adresse e-mail

Retrouver les chiffres restants

  • Les numéros de téléphone américains se composent d’un indicatif régional, d’un code de central et d’un numéro d’abonné
  • Le North American Numbering Plan Administrator (NANPA) permet de consulter une liste à jour des indicatifs régionaux et des centraux correspondants
  • Par exemple, à San Francisco, les 216 numéros de central non attribués dans l’indicatif 415 permettent de réduire le nombre de numéros possibles à 784

National Pooling Administration

  • Le National Pooling Administration, qui gère l’attribution des numéros de téléphone, permet d’exclure les numéros invalides à partir du numéro d’abonné
  • Par exemple, pour les numéros 415-272-XXXX à Sausalito, il est possible d’exclure 415-272-[0-8]XXX et de se concentrer uniquement sur les numéros commençant par 9

Il reste encore beaucoup de numéros possibles

  • Après avoir retrouvé 7 chiffres du numéro de téléphone d’une cible à partir de son adresse e-mail, il est possible d’utiliser le NANPA et le National Pooling Administration pour réduire la liste des numéros possibles
  • Au lieu de vérifier manuellement les numéros restants, on peut utiliser des moteurs de recherche, des services en ligne et des services téléphoniques en ligne pour retrouver le numéro associé à l’adresse e-mail

Utiliser le même vecteur d’attaque en sens inverse

  • Des services comme Amazon et Twitter permettent de tenter une réinitialisation de mot de passe à partir d’un numéro de téléphone et de récupérer en retour certains caractères de l’adresse e-mail
  • En collectant des chiffres du numéro de téléphone sur plusieurs sites à partir d’une adresse e-mail, puis en réduisant la liste des numéros possibles avec les données publiques du NANPA et du National Pooling Administration, il devient possible d’itérer sur les numéros restants et de corréler les caractères d’e-mail obtenus avec l’adresse e-mail de la cible

Automatisation

  • Un outil nommé "email2phonenumber" permet de fournir un numéro de téléphone partiel et d’obtenir une liste de numéros valides ; il peut ensuite utiliser les fonctions de réinitialisation de mot de passe d’Amazon et de Twitter pour brute-forcer les numéros restants afin de trouver l’e-mail correspondant

Les autres pays

  • Il est également possible d’exploiter les systèmes de numérotation téléphonique d’autres pays que les États-Unis pour reconstituer tous les chiffres d’un numéro de téléphone
  • Par exemple, en Espagne, les numéros de mobile comportent 9 chiffres, et eBay ou LastPass n’adaptent pas leur masquage à cette longueur, ce qui permet d’en connaître plus de la moitié

Conclusion

  • En l’absence de méthode normalisée pour masquer les PII, des informations partielles sur les adresses e-mail et les numéros de téléphone peuvent fuiter via les services en ligne
  • En particulier dans les pays où les numéros de téléphone sont courts, de nombreux services n’adaptent pas leur masquage à la longueur réelle, ce qui peut permettre de reconstituer l’intégralité du numéro
  • Il est proposé de permettre aux utilisateurs de définir des libellés comme "e-mail personnel" ou "téléphone professionnel" afin d’afficher ces libellés à la place des PII lors d’une réinitialisation de mot de passe

L’avis de GN⁺

L’élément le plus important de cet article est la découverte d’une nouvelle approche OSINT permettant de déduire un numéro de téléphone à partir d’une simple adresse e-mail. Cette méthode peut avoir des implications majeures pour la protection de la vie privée et la sécurité, et contribuer à sensibiliser aux attaquants susceptibles d’exploiter ce type de faille. L’article propose un sujet intéressant pour les personnes qui s’intéressent au génie logiciel et à la sécurité, tout en soulignant l’importance de la protection des données personnelles.

À lire aussi

1 commentaires

 
GN⁺ 2023-11-18
Avis sur Hacker News
  • Un utilisateur raconte avoir acheté des pièces automobiles à une personne à moitié escroc, le vendeur ayant encaissé l’argent pendant plusieurs semaines sans livrer l’intégralité de la commande. En communiquant via plusieurs plateformes, il a réussi à obtenir une partie des informations d’identité du vendeur, puis a appelé son lieu de travail pour demander l’envoi des pièces, après quoi le vendeur a expédié tous les articles dès le lendemain.
  • Un autre utilisateur mentionne la base de données CNAM (réservée aux États-Unis), expliquant qu’elle sert aux opérateurs pour fournir un identifiant d’appelant alphabétique, mais que la plupart des opérateurs n’affichent pas ces informations bien qu’elles restent accessibles. La consultation de la base CNAM n’est pas gratuite, mais il devrait être possible de trouver un moyen d’interroger des centaines de numéros pour un coût relativement faible.
  • Un utilisateur souligne que PayPal affiche un nombre à cinq chiffres incluant l’indicatif régional dès lors qu’on connaît seulement une adresse e-mail, et seulement trois chiffres si l’attaquant connaît le mot de passe de la cible ; il critique PayPal pour considérer cela comme un problème de conception sans prendre de mesures. Il se demande aussi comment obtenir un numéro via LinkedIn ou le relier à un numéro ailleurs.
  • Un autre utilisateur conseille d’envisager l’usage de numéros virtuels et note que l’option d’une seconde carte SIM reste encore rare aux États-Unis. Il ajoute que de nombreux sites vérifient les numéros de téléphone pour bloquer les fournisseurs VOIP, ce qui peut parfois empêcher de réutiliser un compte.
  • Un utilisateur suédois explique que son e-mail et son numéro de téléphone figurent publiquement dans de nombreux annuaires, et qu’en Suède, rendre les adresses et numéros de téléphone consultables est une pratique standard. Il note qu’un aspect positif de cette exposition des données personnelles est que les gens ne considèrent plus ces informations comme secrètes, et que connaître le numéro de quelqu’un n’aide pas à se faire passer pour cette personne.
  • Un utilisateur emploie une manière humoristique de mentionner son nom en le modifiant légèrement pour préserver sa vie privée.
  • Un capital-risqueur indique qu’il s’agit d’une technique utile pour les personnes qui ignorent les e-mails.
  • Un autre utilisateur estime que la corvée d’utiliser une adresse e-mail et un numéro Google Voice différents pour chaque service a finalement valu le coup.
  • Un chercheur en sécurité s’interroge sur la légitimité de publier des résultats de recherche tels qu’un outil générant automatiquement des numéros de téléphone à partir d’adresses e-mail. Il affirme qu’il existe bien plus de mauvais usages que de bonnes raisons, et se demande si le chercheur bénéficie d’une forme d’immunité parce qu’il agit au nom de la « recherche » dans une zone grise, ou s’il estime avoir réglé le problème après en avoir parlé aux entreprises concernées par la divulgation de la vulnérabilité.
  • Enfin, un utilisateur dit consulter souvent la page des projets Python tendances sur GitHub et ne pas comprendre pourquoi ce dépôt est en tendance. Il trouve intéressant que le simple fait d’avoir été publié sur Hacker News puisse suffire à le faire apparaître dans la page des tendances Python, même si de nombreux services ont déjà corrigé la faille.