1 points par GN⁺ 2024-04-16 | 1 commentaires | Partager sur WhatsApp
  • Des employés de T-Mobile à travers les États-Unis ont reçu des SMS leur proposant de transférer la ligne de clients vers des cartes SIM contrôlées par des attaquants dans le cadre d’opérations illégales de SIM swapping
  • Les messages proposent 300 dollars par opération et invitent à prendre contact via Telegram, en utilisant des numéros d’envoi issus de plusieurs indicatifs régionaux pour compliquer le blocage
  • Les SMS indiquent que les numéros des employés proviendraient du « T-Mo employee directory », et visent non seulement des salariés en poste mais aussi d’anciens employés partis il y a plusieurs mois
  • T-Mobile affirme qu’il n’y a pas eu de compromission de ses systèmes, mais enquête sur ces messages incitant à des actes illégaux ; des cas similaires ont aussi été signalés chez d’autres opérateurs mobiles
  • Les clients doivent réduire leur dépendance à l’authentification à deux facteurs par SMS et activer une application d’authentification ainsi que la SIM protection pour limiter le risque de détournement de compte

Sollicitations directes envoyées aux employés pour du SIM swapping

  • Le SIM swapping consiste pour un attaquant à transférer la ligne téléphonique d’une victime vers une SIM qu’il contrôle, afin d’intercepter les codes de double authentification envoyés à la victime et d’accéder à ses comptes en ligne
  • Les victimes peuvent perdre de l’argent depuis leurs comptes bancaires ou leurs portefeuilles de cryptomonnaies
  • D’après plusieurs publications sur Reddit et d’autres signalements distincts, des employés de T-Mobile dans tout le pays ont reçu des SMS leur proposant de l’argent en échange d’opérations de SIM swapping
  • Ces messages offrent 300 dollars par cas de SIM swapping et demandent de prendre contact via Telegram
  • Les numéros d’expéditeur changent entre différents numéros et plusieurs indicatifs régionaux, ce qui rend le simple blocage de numéro insuffisant

Origine des coordonnées des employés et question d’une éventuelle compromission

  • Les messages indiquent que les numéros de téléphone des employés ont été obtenus via le « T-Mo employee directory »
    • Si cette affirmation est exacte, cela pourrait indiquer qu’un accès, d’une manière ou d’une autre, a été obtenu à un annuaire d’employés T-Mobile contenant leurs coordonnées
    • Des anciens employés ayant quitté l’entreprise il y a plusieurs mois figurent aussi parmi les cibles, ce qui laisse penser que les attaquants n’ont probablement pas un accès en temps réel aux données actuelles
  • L’origine exacte des numéros des employés n’a pas été déterminée
    • Selon des commentaires en ligne, certains employés tiers semblent également avoir été concernés
    • Il a aussi été confirmé séparément que des employés corporate de T-Mobile actuellement en poste ont reçu ces messages
    • Il est difficile d’affirmer avec certitude qu’il s’agit de la même source que les données divulguées en septembre 2023 liées à Connectivity Source
    • Cette possibilité ne peut toutefois pas être exclue
  • Les relations presse de T-Mobile ont indiqué qu’« il n’y a pas eu de compromission des systèmes »
    • L’entreprise continue d’enquêter sur ces messages envoyés pour inciter à des actes illégaux
    • D’autres opérateurs mobiles ont également signalé des messages similaires

Les risques que les clients peuvent réduire

  • Le fait que les criminels considèrent encore le SIM swapping comme une méthode d’attaque rentable reste un sujet d’inquiétude pour les clients
  • Si certains employés acceptent une offre d’argent rapide, les comptes et les fonds des clients peuvent être directement menacés
  • Mesures que les clients peuvent prendre :
    • Ne pas utiliser une authentification à deux facteurs basée sur les SMS pour les services en ligne
    • Utiliser une application d’authentification comme Google Authenticator ou Authy
    • Si une banque ou un service de portefeuille crypto ne propose que l’authentification à deux facteurs par SMS, envisager de passer à un autre service
    • Activer la SIM protection sur le compte T-Mobile

1 commentaires

 
GN⁺ 2024-04-16
Avis de Hacker News
  • T-Mobile ne pourrait-il pas envoyer lui-même un SMS à ses employés en faisant semblant de porter la récompense à 600 dollars, puis licencier ceux qui répondent ?
    Ou bien modifier les conditions de remise sur les lignes des employés afin de pouvoir surveiller le contenu ou les métadonnées des SMS pour détecter les menaces de sécurité visant les utilisateurs de l’entreprise.

    • T-Mobile pourrait faire beaucoup de choses, mais il faudrait d’abord vérifier pourquoi cela devrait l’intéresser.
      Je ne sais pas s’il est légal de faire semblant de proposer de l’argent en échange d’un SIM swap, mais c’est secondaire ; par le passé, je n’ai pas vu beaucoup d’éléments montrant que T-Mobile se souciait de ce genre de choses.
    • Il y a beaucoup de mesures possibles : 1) exiger deux employés et un conseiller téléphonique pour tout changement de SIM, 2) appeler le numéro concerné par le changement et vérifier auprès de la personne qui répond qu’elle est bien au courant du transfert du numéro, 3) imposer un délai de grâce de 24 heures avant le changement et tenter de contacter l’utilisateur du numéro, et 4) offrir une grosse prime, de 10 000 dollars ou plus, à quiconque fournit la preuve qu’un collègue a accepté un pot-de-vin.
    • Le simple fait d’envoyer un avis indiquant que répondre à ce type de proposition peut entraîner un licenciement réglerait déjà une partie du problème.
    • On peut aussi les payer suffisamment pour qu’ils ne soient pas tentés au départ.
  • Les attaques par SIM swap impliquant un « initié » ne sont pas nouvelles. Le téléphone T-Mobile d’un ami proche a été compromis de cette manière en mars 2020.
    Ce qui est important dans cette nouvelle, c’est la rencontre entre fuite de données et SIM swap. Les criminels utilisent les numéros de téléphone d’employés inclus dans une récente fuite de données de T-Mobile pour contacter par SMS un grand nombre d’employés à la fois, en leur proposant 300 dollars par opération.
    Avant, il fallait créer un initié via des relations personnelles ou se faire embaucher directement ; avec des données fuitées, il devient possible d’automatiser et de passer à l’échelle.

    • La façon d’exploiter cette faiblesse serait de diffuser de fausses offres de honeypot. Le point faible de ce plan, c’est que le manque de confiance et l’anonymat jouent dans les deux sens.
      Autrement dit, « l’ancienne méthode » ne consistait pas seulement à cultiver un initié, mais aussi à faire en sorte que cet initié puisse faire confiance au commanditaire.
    • À ma connaissance, ce genre de choses se produit dans le monde des cryptomonnaies depuis début 2018.
    • Je me demande pourquoi des gens risqueraient leur emploi pour 300 dollars.
    • Dans mon cas, ça m’est arrivé à la fin des années 2000, probablement vers 2008.
  • Quelle serait la solution ici ? Est-il réaliste d’empêcher les employés des boutiques physiques de transférer le numéro de téléphone d’un client vers une nouvelle SIM ? Que faire si le client dit avoir perdu son téléphone ou s’être le fait voler ?
    Idéalement, il faudrait une vérification attestant que le client était bien présent sur place et que son identité a été contrôlée, mais aux États-Unis il n’existe pas vraiment de pièce d’identité universellement utilisée, donc je ne vois pas bien comment faire. Et je pense aussi qu’on devrait pouvoir obtenir un numéro de téléphone sans pièce d’identité, auquel cas la vérification devient impossible.
    Le problème, c’est que le téléphone est devenu de fait la racine de confiance de notre vie numérique. Le fait que les passkeys soient intégrées aux systèmes d’exploitation est une bonne chose, car cela déplace ce problème hors des opérateurs, mais le problème fondamental demeure. Établir la confiance initiale est difficile.

    • La solution consiste à ne pas confier aux opérateurs l’accès à notre vie numérique.
      Quand on dit « le client est réellement sur place et son identité a été vérifiée », c’est où, exactement, « sur place » ? Mon MVNO n’a pas d’agences. Et même s’il en avait, pourquoi devrais-je m’y rendre ? J’évite même les agences bancaires autant que possible.
    • Même aux États-Unis, il n’est pas du tout rare que des politiques exigent une pièce d’identité avec photo délivrée par l’État pour divers contrôles d’identité. À ma connaissance, tous les États disposent d’une pièce d’identité pouvant être délivrée à tout le monde. Elle n’est généralement pas gratuite, mais n’importe qui peut l’obtenir.
    • La solution simple est de ne pas utiliser le SMS pour la récupération de mot de passe.
      Le SMS peut éventuellement convenir pour l’authentification à deux facteurs, mais il doit toujours être le deuxième facteur. « Mot de passe oublié » → code SMS → nouveau mot de passe, c’est en réalité une authentification à un seul facteur. Utiliser le SMS comme seul facteur est vraiment mauvais.
    • Exiger un PIN sur le compte avant un changement de SIM ou une autre opération semble être une barrière d’entrée assez utile.
      Ainsi, un employé corrompu aurait besoin d’une information supplémentaire qu’il ne possède pas pour effectuer le changement de SIM.
    • Un simple délai suffirait à résoudre 99 % des cas.
      Il faudrait que la SIM soit déconnectée du réseau mobile pendant 48 heures avant qu’un changement soit possible ; si elle ne l’est pas, il suffirait d’appeler ou d’envoyer un SMS à l’ancienne SIM pour confirmer que le changement est réellement souhaité.
  • Je travaille dans le secteur des cryptomonnaies et je vois des SIM swaps tout le temps. Ils servent surtout à prendre le contrôle de comptes Twitter de personnalités, puis à publier des liens de phishing pour voler les coins de leurs abonnés. Dans ce domaine, T-Mobile revient de très loin le plus souvent, et comme la plupart des victimes utilisaient T-Mobile, c’est un problème qui dure depuis longtemps.
    Un autre gros problème de sécurité de Twitter, c’est qu’un compte peut être volé même si l’on utilise une authentification à deux facteurs autre que par SMS. Si un numéro de téléphone est associé au compte, il sert de moyen de récupération et contourne complètement l’authentification à deux facteurs. Cette faille de sécurité existe depuis des années et n’a toujours pas été corrigée.

    • Presque tous les services qui prennent aujourd’hui en charge l’authentification à deux facteurs présentent cette vulnérabilité de récupération.
      Très peu de sites permettent de ne pas fournir du tout de numéro de téléphone, ou au moins de ne pas l’utiliser comme moyen de récupération.
      Un simple verrouillage temporel aiderait beaucoup. Par exemple, la récupération de l’authentification « à deux » facteurs fondée sur un mot de passe à usage unique par SMS ne serait possible qu’après 24 heures, avec l’envoi simultané de nombreuses alertes du type « quelqu’un qui n’est peut-être pas vous tente de récupérer votre compte », et la possibilité pour le propriétaire légitime du compte d’interrompre la procédure.
    • Beaucoup de sites ont une faille qui transforme l’authentification à deux facteurs par SMS en authentification à un seul facteur dans les faits. Tout ce qu’il faut, c’est le numéro de téléphone.
      C’est encore pire si c’est autorisé même lorsqu’on utilise une authentification à deux facteurs autre que par SMS, car cela réduit à néant à 100 % l’intérêt d’utiliser une méthode 2FA alternative.
  • Il est difficile de croire que les mots de passe à usage unique par SMS soient encore utilisés aussi souvent. C’est un fait connu publiquement : cela ne fait que remplacer un vecteur d’attaque existant par un vecteur encore pire.
    Casser un mot de passe ou pénétrer dans une base de données chiffrée est au moins 10 fois plus difficile que réussir un SIM swap.

    • Casser un bon mot de passe est difficile, mais beaucoup de gens n’utilisent pas de bons mots de passe, ou les saisissent sans trop réfléchir dans n’importe quel formulaire web de phishing.
      Les codes de double authentification à durée limitée peuvent être contournés par SIM swap ou phishing ciblé, mais c’est moins courant que les vastes campagnes de phishing basées sur le spam.
      Cela ne veut pas dire que j’aime la double authentification par SMS ; je la déteste vraiment.
    • Ma banque a récemment ajouté une fonction qui supprime le SMS des options de double authentification et exige TOTP.
      Il ne leur manque plus qu’à ajouter WebAuthn. Cela dit, TOTP utilisé avec le gestionnaire de mots de passe intégré au navigateur est assez résistant au phishing, car si l’autoremplissage n’apparaît pas, on peut se méfier.
    • C’est facile, gratuit pour le client, et grâce à des fonctions comme le « code autofill » de l’iPhone, c’est aussi l’expérience utilisateur la plus simple.
      Les SIM swaps ne touchent qu’un très petit nombre de personnes, donc pour les acteurs concernés, l’effort n’en vaut guère la peine. Je déteste ça moi aussi, mais c’est la réalité.
    • Mais une fois que ça réussit, beaucoup de comptes sont compromis en même temps.
      Aujourd’hui, tout ce qui repose uniquement sur un nom d’utilisateur et un mot de passe devrait être remplacé par des passkeys. Le problème que les passkeys ne résolvent pas, c’est la double authentification et la récupération de compte.
    • À strictement parler, ce n’est pas un « remplacement ». Avant les mots de passe à usage unique par SMS, il n’y avait que les mots de passe.
      Mot de passe + mot de passe à usage unique par SMS, même si la méthode SMS est médiocre, reste en soi meilleur.
  • La FCC semble appliquer de nouvelles règles pour empêcher les SIM swaps, avec une entrée en vigueur annoncée au 8 juillet 2024. Cela dit, à la lecture du seul communiqué de presse, il n’est pas certain que cela puisse protéger les clients lorsque l’employé de l’opérateur est lui-même l’acteur malveillant.
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • Sans plaisanter, je pense qu’il y aurait un marché pour un opérateur mobile qui exige un échantillon d’ADN en cas de changement.
    L’ADN pourrait être prélevé simultanément à partir de plusieurs sources — sang, salive, ongle choisi au hasard — puis haché afin que le fournisseur ne stocke pas la séquence ADN elle-même. L’ADN n’est pas exactement un UUID, donc il faudrait un peu d’innovation, mais je pense que c’est possible. Les VIP paieraient pour ce service, et on pourrait aussi proposer une assurance limitée contre les piratages.
    À ce propos, dans un épisode de « Forensic Files », un suspect avait injecté dans son corps l’échantillon de sang d’une autre personne pour éviter un test ADN lié à une accusation d’agression sexuelle. J’admets donc qu’une méthode basée sur l’ADN peut aussi être attaquée. C’est pourquoi il faudrait plusieurs échantillons aléatoires.

    • Un scan de l’iris, comme le Worldcoin de Sam Altman, pourrait aussi convenir.
  • Il nous faut vraiment de meilleures normes pour l’authentification multifacteur. Il faudrait peut-être une définition juridique de l’authentification multifacteur, et classer le SMS au même niveau que l’e-mail : une forme de double authentification.
    À mon avis, la vraie authentification multifacteur devrait être limitée aux YubiKey et autres dispositifs matériels basés sur des certificats. Et si un service ne prend en charge qu’un seul jeton par méthode, il ne devrait pas pouvoir se présenter comme de l’authentification multifacteur.

  • Ce n’est pas simplement un problème lié aux SIM ou à T-Mobile.
    La plupart des agents de support client sont très peu payés, et surtout dans d’autres pays, il n’est pas difficile de trouver quelqu’un prêt à effectuer une action donnée pour une somme modeste selon les standards occidentaux. Les agents du support client disposent souvent de pouvoirs importants et d’un accès à des informations sensibles, tandis que les contrôles d’accès sont laxistes.
    Même si l’on règle les problèmes liés au SMS et à l’authentification multifacteur, les attaquants s’en prendront au prochain maillon faible.

    • C’est une autre raison derrière ma proposition de loi selon laquelle tout service client s’adressant à des clients américains devrait être situé aux États-Unis, au Royaume-Uni, en Irlande, au Canada, en Australie ou en Nouvelle-Zélande.
    • Cela dit, idéalement, le prochain point faible devrait être bien plus sûr que des employés sous-payés et économiquement vulnérables.
      À ma connaissance, la double authentification par SMS est la plus facile à contourner de toutes les méthodes. Avec l’e-mail au moins, il faut d’abord un mot de passe et, dans certains cas, passer aussi une double authentification distincte.
  • Pour lancer une idée qui paraît simple : proposer une option facultative permettant de transférer la ligne d’un compte vers une nouvelle SIM uniquement lorsque la SIM actuelle est hors ligne du point de vue du réseau cellulaire.
    On pourrait aussi empêcher le support client de contourner cette restriction.
    Si quelqu’un vole un téléphone, il essaiera probablement de le mettre en mode avion aussi vite que possible pour éviter le verrouillage d’activation. S’il est tombé à la mer ou au pied d’une falaise, il y a de bonnes chances qu’il ne fonctionne pas très longtemps. Si vous craignez de l’avoir perdu alors qu’il reste allumé et introuvable, il suffit de ne pas activer cette option.

    • Il suffirait d’envoyer à la carte SIM un message disant : « Voulez-vous transférer ? »
      S’il n’y a pas de réponse, le transfert a lieu au bout de 48 heures ; si la réponse est « oui », il a lieu immédiatement. Si la réponse est « non », la personne qui a demandé le transfert doit répondre à quelques questions.
    • On pourrait aussi envoyer une demande de confirmation à la ligne actuelle et prévoir un délai de grâce. Si l’utilisateur peut choisir à l’avance son délai de grâce, cela empêcherait quelqu’un de détourner la ligne en sachant que l’utilisateur est en avion.
      Par exemple, si vous avez perdu votre téléphone et qu’il peut se trouver quelque part au bord de la route, donc que vous ne pouvez pas répondre, la ligne serait transférée environ 8 heures après l’absence de réponse à la demande de confirmation.
    • Des fonctions optionnelles de protection SIM existent déjà. Si vous verrouillez la carte SIM, la ligne ne peut pas être transférée tant qu’elle n’est pas déverrouillée.