Les cybercriminels utilisent votre messagerie vocale pour détourner vos comptes en ligne

17 Août 2018

Qui utilise encore sa messagerie vocale ? La plupart des gens répondent spontanément  » personne « . Vrai et faux. Il est certain que la majorité des gens n’utilisent plus la messagerie vocale, mais de nombreux abonnés disposent encore de ce service qui continue de fonctionner correctement, même s’il a été un peu négligé.

N’oubliez pas : ce n’est pas parce que vous n’utilisez pas votre messagerie vocale que personne ne s’en sert. Dans le rapport  » Compromising online accounts by cracking voicemail systems  » présenté à DEF CON 26 par le chercheur Martin Vigo, il a été démontré que votre messagerie vocale peut intéresser les intrus qui cherchent à pirater vos comptes en ligne.

En réalité, la plupart des opérateurs autorisent l’accès à votre messagerie vocale non seulement depuis votre téléphone, mais aussi depuis un numéro de téléphone externe, et dans ce cas l’accès est protégé par un code PIN. Cependant, les codes PIN des messageries vocales ne sont pas vraiment protégés. De nombreux abonnés utilisent les codes par défaut fournis par l’opérateur, c’est-à-dire les derniers chiffres du numéro de téléphone, ou un code assez simple comme 1111 ou 1234.

De plus, même si l’utilisateur prend la peine de changer le code PIN, il est fort probable que l’escroc arrive à le deviner ; comme le montre cette étude, les gens sont encore moins inspirés lorsqu’ils doivent choisir un code PIN que quand il s’agit d’un mot de passe.

Le code PIN comprend généralement quatre chiffres, même si en théorie, il est possible d’en choisir un plus long. Ensuite, beaucoup d’utilisateurs décident d’utiliser une séquence simple à mémoriser avec quatre chiffres identiques ou des combinaisons comme 1234, 9876, 2580 (les chiffres de la ligne verticale d’un clavier de téléphone), et autres codes similaires. Les codes PIN qui commencent par 19xx sont aussi très courants. Grâce à ces données étranges, il est plus facile et plus rapide de craquer le code de votre messagerie vocale.

Pas besoin de passer une par une et manuellement toutes les combinaisons possibles ; un script peut le faire pour vous puisqu’il appelle le numéro de la messagerie vocale, et saisit les différentes combinaisons en mode tonalité. Cela signifie qu’il est possible d’attaquer votre messagerie vocale par force brute, mais aussi en utilisant des ressources assez légères. Vous pouvez alors vous dire :  » Et alors ? Il n’y a rien d’important dans ma messagerie vocale.  » Du moins c’est ce que vous pensez.

Comment pirater votre compte PayPal ou WhatsApp grâce à votre messagerie vocale

Lorsque vous réinitialisez votre mot de passe, les services en ligne les plus importants vous proposent, entre autres, de vous appeler au numéro mentionné dans votre profil et de vous envoyer un code de vérification.

Le cybercriminel n’a qu’à deviner le code PIN de la messagerie vocale et attendre que le téléphone de la victime soit éteint, ou sans couverture réseau, par exemple en mode avion. Ensuite, il peut tout simplement demander à réinitialiser le mot de passe du service en ligne et choisir l’appel comme méthode de vérification puisqu’il tombera directement sur la messagerie vocale.

Martin Vigo a montré comment cette technique peut être utilisée pour détourner un compte WhatsApp.

Certaines ressources en ligne utilisent des processus de vérification légèrement différents : le service refait le numéro de téléphone associé au compte, et demande à l’utilisateur d’entrer les chiffres qui apparaissent sur la page de réinitialisation du mot de passe. Cependant, cette méthode de vérification peut être détournée en utilisant un simple tour qui consiste à enregistrer le message de bienvenu de la messagerie vocale en utilisant les tonalités des touches du clavier qui correspondent aux chiffres du code de réinitialisation.

PayPal est un des services en ligne qui utilisent ce genre de système de vérification. Martin Vigo a aussi réussi à craquer ce système :

Nous n’avons mentionné que quelques exemples. En réalité, beaucoup de services appellent automatiquement le numéro de téléphone associé à un compte pour vérifier l’authenticité d’une demande de réinitialisation d’un mot de passe, ou pour envoyer un code d’authentification à deux facteurs à usage unique.

Comment se protéger des piratages qui utilisent votre messagerie vocale

  • Envisagez de complètement désactiver votre messagerie vocale ; de toute façon vous ne vous en servez pas vraiment.
  • Si vous avez besoin d’une messagerie vocale, utilisez un code PIN sûr. Pour commencer, il devrait compter plus de quatre chiffres. Plus il y en a, mieux c’est. Ensuite, il devrait être difficile de deviner votre combinaison, et il serait préférable qu’elle soit choisie au hasard.
  • Ne communiquez pas le numéro de téléphone associé à vos comptes en ligne à tout va. Plus il est difficile de lier un numéro de téléphone à votre identité en ligne, mieux c’est.
  • Essayez de ne pas associer votre numéro de téléphone à un service en ligne si ce n’est pas une condition préalable, ou nécessaire, pour l’authentification à deux facteurs.
  • Servez-vous d’une authentification à deux facteurs ; idéalement une application comme Google Authenticator ou un périphérique comme YubiKey.