Des employés de T-Mobile dans tout le pays reçoivent des offres d’argent pour échanger illégalement des SIM
(tmo.report)- Des employés de T-Mobile à travers les États-Unis ont reçu des SMS leur proposant de transférer la ligne de clients vers des cartes SIM contrôlées par des attaquants dans le cadre d’opérations illégales de SIM swapping
- Les messages proposent 300 dollars par opération et invitent à prendre contact via Telegram, en utilisant des numéros d’envoi issus de plusieurs indicatifs régionaux pour compliquer le blocage
- Les SMS indiquent que les numéros des employés proviendraient du « T-Mo employee directory », et visent non seulement des salariés en poste mais aussi d’anciens employés partis il y a plusieurs mois
- T-Mobile affirme qu’il n’y a pas eu de compromission de ses systèmes, mais enquête sur ces messages incitant à des actes illégaux ; des cas similaires ont aussi été signalés chez d’autres opérateurs mobiles
- Les clients doivent réduire leur dépendance à l’authentification à deux facteurs par SMS et activer une application d’authentification ainsi que la SIM protection pour limiter le risque de détournement de compte
Sollicitations directes envoyées aux employés pour du SIM swapping
- Le SIM swapping consiste pour un attaquant à transférer la ligne téléphonique d’une victime vers une SIM qu’il contrôle, afin d’intercepter les codes de double authentification envoyés à la victime et d’accéder à ses comptes en ligne
- Les victimes peuvent perdre de l’argent depuis leurs comptes bancaires ou leurs portefeuilles de cryptomonnaies
- D’après plusieurs publications sur Reddit et d’autres signalements distincts, des employés de T-Mobile dans tout le pays ont reçu des SMS leur proposant de l’argent en échange d’opérations de SIM swapping
- Ces messages offrent 300 dollars par cas de SIM swapping et demandent de prendre contact via Telegram
- Les numéros d’expéditeur changent entre différents numéros et plusieurs indicatifs régionaux, ce qui rend le simple blocage de numéro insuffisant
Origine des coordonnées des employés et question d’une éventuelle compromission
- Les messages indiquent que les numéros de téléphone des employés ont été obtenus via le « T-Mo employee directory »
- Si cette affirmation est exacte, cela pourrait indiquer qu’un accès, d’une manière ou d’une autre, a été obtenu à un annuaire d’employés T-Mobile contenant leurs coordonnées
- Des anciens employés ayant quitté l’entreprise il y a plusieurs mois figurent aussi parmi les cibles, ce qui laisse penser que les attaquants n’ont probablement pas un accès en temps réel aux données actuelles
- L’origine exacte des numéros des employés n’a pas été déterminée
- Selon des commentaires en ligne, certains employés tiers semblent également avoir été concernés
- Il a aussi été confirmé séparément que des employés corporate de T-Mobile actuellement en poste ont reçu ces messages
- Il est difficile d’affirmer avec certitude qu’il s’agit de la même source que les données divulguées en septembre 2023 liées à Connectivity Source
- Cette possibilité ne peut toutefois pas être exclue
- Les relations presse de T-Mobile ont indiqué qu’« il n’y a pas eu de compromission des systèmes »
- L’entreprise continue d’enquêter sur ces messages envoyés pour inciter à des actes illégaux
- D’autres opérateurs mobiles ont également signalé des messages similaires
Les risques que les clients peuvent réduire
- Le fait que les criminels considèrent encore le SIM swapping comme une méthode d’attaque rentable reste un sujet d’inquiétude pour les clients
- Si certains employés acceptent une offre d’argent rapide, les comptes et les fonds des clients peuvent être directement menacés
- Mesures que les clients peuvent prendre :
- Ne pas utiliser une authentification à deux facteurs basée sur les SMS pour les services en ligne
- Utiliser une application d’authentification comme Google Authenticator ou Authy
- Si une banque ou un service de portefeuille crypto ne propose que l’authentification à deux facteurs par SMS, envisager de passer à un autre service
- Activer la SIM protection sur le compte T-Mobile
1 commentaires
Avis de Hacker News
T-Mobile ne pourrait-il pas envoyer lui-même un SMS à ses employés en faisant semblant de porter la récompense à 600 dollars, puis licencier ceux qui répondent ?
Ou bien modifier les conditions de remise sur les lignes des employés afin de pouvoir surveiller le contenu ou les métadonnées des SMS pour détecter les menaces de sécurité visant les utilisateurs de l’entreprise.
Je ne sais pas s’il est légal de faire semblant de proposer de l’argent en échange d’un SIM swap, mais c’est secondaire ; par le passé, je n’ai pas vu beaucoup d’éléments montrant que T-Mobile se souciait de ce genre de choses.
Les attaques par SIM swap impliquant un « initié » ne sont pas nouvelles. Le téléphone T-Mobile d’un ami proche a été compromis de cette manière en mars 2020.
Ce qui est important dans cette nouvelle, c’est la rencontre entre fuite de données et SIM swap. Les criminels utilisent les numéros de téléphone d’employés inclus dans une récente fuite de données de T-Mobile pour contacter par SMS un grand nombre d’employés à la fois, en leur proposant 300 dollars par opération.
Avant, il fallait créer un initié via des relations personnelles ou se faire embaucher directement ; avec des données fuitées, il devient possible d’automatiser et de passer à l’échelle.
Autrement dit, « l’ancienne méthode » ne consistait pas seulement à cultiver un initié, mais aussi à faire en sorte que cet initié puisse faire confiance au commanditaire.
Quelle serait la solution ici ? Est-il réaliste d’empêcher les employés des boutiques physiques de transférer le numéro de téléphone d’un client vers une nouvelle SIM ? Que faire si le client dit avoir perdu son téléphone ou s’être le fait voler ?
Idéalement, il faudrait une vérification attestant que le client était bien présent sur place et que son identité a été contrôlée, mais aux États-Unis il n’existe pas vraiment de pièce d’identité universellement utilisée, donc je ne vois pas bien comment faire. Et je pense aussi qu’on devrait pouvoir obtenir un numéro de téléphone sans pièce d’identité, auquel cas la vérification devient impossible.
Le problème, c’est que le téléphone est devenu de fait la racine de confiance de notre vie numérique. Le fait que les passkeys soient intégrées aux systèmes d’exploitation est une bonne chose, car cela déplace ce problème hors des opérateurs, mais le problème fondamental demeure. Établir la confiance initiale est difficile.
Quand on dit « le client est réellement sur place et son identité a été vérifiée », c’est où, exactement, « sur place » ? Mon MVNO n’a pas d’agences. Et même s’il en avait, pourquoi devrais-je m’y rendre ? J’évite même les agences bancaires autant que possible.
Le SMS peut éventuellement convenir pour l’authentification à deux facteurs, mais il doit toujours être le deuxième facteur. « Mot de passe oublié » → code SMS → nouveau mot de passe, c’est en réalité une authentification à un seul facteur. Utiliser le SMS comme seul facteur est vraiment mauvais.
Ainsi, un employé corrompu aurait besoin d’une information supplémentaire qu’il ne possède pas pour effectuer le changement de SIM.
Il faudrait que la SIM soit déconnectée du réseau mobile pendant 48 heures avant qu’un changement soit possible ; si elle ne l’est pas, il suffirait d’appeler ou d’envoyer un SMS à l’ancienne SIM pour confirmer que le changement est réellement souhaité.
Je travaille dans le secteur des cryptomonnaies et je vois des SIM swaps tout le temps. Ils servent surtout à prendre le contrôle de comptes Twitter de personnalités, puis à publier des liens de phishing pour voler les coins de leurs abonnés. Dans ce domaine, T-Mobile revient de très loin le plus souvent, et comme la plupart des victimes utilisaient T-Mobile, c’est un problème qui dure depuis longtemps.
Un autre gros problème de sécurité de Twitter, c’est qu’un compte peut être volé même si l’on utilise une authentification à deux facteurs autre que par SMS. Si un numéro de téléphone est associé au compte, il sert de moyen de récupération et contourne complètement l’authentification à deux facteurs. Cette faille de sécurité existe depuis des années et n’a toujours pas été corrigée.
Très peu de sites permettent de ne pas fournir du tout de numéro de téléphone, ou au moins de ne pas l’utiliser comme moyen de récupération.
Un simple verrouillage temporel aiderait beaucoup. Par exemple, la récupération de l’authentification « à deux » facteurs fondée sur un mot de passe à usage unique par SMS ne serait possible qu’après 24 heures, avec l’envoi simultané de nombreuses alertes du type « quelqu’un qui n’est peut-être pas vous tente de récupérer votre compte », et la possibilité pour le propriétaire légitime du compte d’interrompre la procédure.
C’est encore pire si c’est autorisé même lorsqu’on utilise une authentification à deux facteurs autre que par SMS, car cela réduit à néant à 100 % l’intérêt d’utiliser une méthode 2FA alternative.
Il est difficile de croire que les mots de passe à usage unique par SMS soient encore utilisés aussi souvent. C’est un fait connu publiquement : cela ne fait que remplacer un vecteur d’attaque existant par un vecteur encore pire.
Casser un mot de passe ou pénétrer dans une base de données chiffrée est au moins 10 fois plus difficile que réussir un SIM swap.
Les codes de double authentification à durée limitée peuvent être contournés par SIM swap ou phishing ciblé, mais c’est moins courant que les vastes campagnes de phishing basées sur le spam.
Cela ne veut pas dire que j’aime la double authentification par SMS ; je la déteste vraiment.
Il ne leur manque plus qu’à ajouter WebAuthn. Cela dit, TOTP utilisé avec le gestionnaire de mots de passe intégré au navigateur est assez résistant au phishing, car si l’autoremplissage n’apparaît pas, on peut se méfier.
Les SIM swaps ne touchent qu’un très petit nombre de personnes, donc pour les acteurs concernés, l’effort n’en vaut guère la peine. Je déteste ça moi aussi, mais c’est la réalité.
Aujourd’hui, tout ce qui repose uniquement sur un nom d’utilisateur et un mot de passe devrait être remplacé par des passkeys. Le problème que les passkeys ne résolvent pas, c’est la double authentification et la récupération de compte.
Mot de passe + mot de passe à usage unique par SMS, même si la méthode SMS est médiocre, reste en soi meilleur.
La FCC semble appliquer de nouvelles règles pour empêcher les SIM swaps, avec une entrée en vigueur annoncée au 8 juillet 2024. Cela dit, à la lecture du seul communiqué de presse, il n’est pas certain que cela puisse protéger les clients lorsque l’employé de l’opérateur est lui-même l’acteur malveillant.
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
Sans plaisanter, je pense qu’il y aurait un marché pour un opérateur mobile qui exige un échantillon d’ADN en cas de changement.
L’ADN pourrait être prélevé simultanément à partir de plusieurs sources — sang, salive, ongle choisi au hasard — puis haché afin que le fournisseur ne stocke pas la séquence ADN elle-même. L’ADN n’est pas exactement un UUID, donc il faudrait un peu d’innovation, mais je pense que c’est possible. Les VIP paieraient pour ce service, et on pourrait aussi proposer une assurance limitée contre les piratages.
À ce propos, dans un épisode de « Forensic Files », un suspect avait injecté dans son corps l’échantillon de sang d’une autre personne pour éviter un test ADN lié à une accusation d’agression sexuelle. J’admets donc qu’une méthode basée sur l’ADN peut aussi être attaquée. C’est pourquoi il faudrait plusieurs échantillons aléatoires.
Il nous faut vraiment de meilleures normes pour l’authentification multifacteur. Il faudrait peut-être une définition juridique de l’authentification multifacteur, et classer le SMS au même niveau que l’e-mail : une forme de double authentification.
À mon avis, la vraie authentification multifacteur devrait être limitée aux YubiKey et autres dispositifs matériels basés sur des certificats. Et si un service ne prend en charge qu’un seul jeton par méthode, il ne devrait pas pouvoir se présenter comme de l’authentification multifacteur.
En pratique, le trousseau iCloud de l’iPhone semble être à peu près la limite, et lui aussi repose dans une certaine mesure sur la sécurité matérielle.
https://passkeys.dev/
https://passkeys.directory/
Ce n’est pas simplement un problème lié aux SIM ou à T-Mobile.
La plupart des agents de support client sont très peu payés, et surtout dans d’autres pays, il n’est pas difficile de trouver quelqu’un prêt à effectuer une action donnée pour une somme modeste selon les standards occidentaux. Les agents du support client disposent souvent de pouvoirs importants et d’un accès à des informations sensibles, tandis que les contrôles d’accès sont laxistes.
Même si l’on règle les problèmes liés au SMS et à l’authentification multifacteur, les attaquants s’en prendront au prochain maillon faible.
À ma connaissance, la double authentification par SMS est la plus facile à contourner de toutes les méthodes. Avec l’e-mail au moins, il faut d’abord un mot de passe et, dans certains cas, passer aussi une double authentification distincte.
Pour lancer une idée qui paraît simple : proposer une option facultative permettant de transférer la ligne d’un compte vers une nouvelle SIM uniquement lorsque la SIM actuelle est hors ligne du point de vue du réseau cellulaire.
On pourrait aussi empêcher le support client de contourner cette restriction.
Si quelqu’un vole un téléphone, il essaiera probablement de le mettre en mode avion aussi vite que possible pour éviter le verrouillage d’activation. S’il est tombé à la mer ou au pied d’une falaise, il y a de bonnes chances qu’il ne fonctionne pas très longtemps. Si vous craignez de l’avoir perdu alors qu’il reste allumé et introuvable, il suffit de ne pas activer cette option.
S’il n’y a pas de réponse, le transfert a lieu au bout de 48 heures ; si la réponse est « oui », il a lieu immédiatement. Si la réponse est « non », la personne qui a demandé le transfert doit répondre à quelques questions.
Par exemple, si vous avez perdu votre téléphone et qu’il peut se trouver quelque part au bord de la route, donc que vous ne pouvez pas répondre, la ligne serait transférée environ 8 heures après l’absence de réponse à la demande de confirmation.