Eh bien, il s\u2019av\u00e8re qu\u2019ils peuvent le faire. Tout d\u2019abord, toutes les boutiques en ligne n\u2019utilisent pas la protection s\u00e9curis\u00e9e 3D, ce qui signifie que toutes les transactions ne n\u00e9cessitent pas un message SMS de confirmation avec un code. M\u00eame si le code CVC (trois num\u00e9ros au dos de la carte) n\u2019est pas garanti contre le d\u00e9tournement, toutes les transactions n\u2019en requi\u00e8rent pas une.<\/p>\n
Les hackers interceptent \u00e9galement les messages SMS envoy\u00e9s des banques et utilisent les codes de v\u00e9rification pour obtenir l\u2019acc\u00e8s total \u00e0 un compte. R\u00e9cemment, une somme substantielle d\u2019argent a \u00e9t\u00e9 vol\u00e9e<\/a> \u00e0 des consommateurs malchanceux en Allemagne exactement de cette fa\u00e7on. Jetez un coup d\u2019\u0153il de plus pr\u00e8s \u00e0 ce qui s\u2019est pass\u00e9.<\/p>\n Intercepter des SMS est possible \u00e0 cause des vuln\u00e9rabilit\u00e9s sur un ensemble de t\u00e9l\u00e9phones signalant des protocoles r\u00e9f\u00e9r\u00e9s \u00e0 un nom commun \u2013 SS7<\/a> (alias Signaling System 7, Common Channel Signaling System 7).<\/p>\n Ces protocoles de signalisation sont l\u2019\u00e9pine dorsale du syst\u00e8me de communication du t\u00e9l\u00e9phone contemporain\u00a0; ils sont con\u00e7us pour transmettre toutes les informations de service sans un r\u00e9seau cellulaire. Ils ont \u00e9t\u00e9 d\u00e9velopp\u00e9s dans les ann\u00e9es 1970 et mis en place pour la premi\u00e8re fois dans les ann\u00e9es 80, et depuis sont devenus une norme mondiale.<\/p>\n Au d\u00e9part, les protocoles SS7 ont \u00e9t\u00e9 con\u00e7us pour les t\u00e9l\u00e9phones fixes. L\u2019id\u00e9e \u00e9tait de s\u00e9parer physiquement les signaux vocaux et de services en les mettant sur diff\u00e9rentes cha\u00eenes, afin de solidifier la protection contre les intrus t\u00e9l\u00e9phoniques en utilisant des bo\u00eetes sp\u00e9ciales<\/a> pour imiter les signaux de tonalit\u00e9 utilis\u00e9s au moment de transf\u00e9rer les informations de service au sein des r\u00e9seaux t\u00e9l\u00e9phoniques. (Oui, les m\u00eames bo\u00eetes que Steve Jobs et Steve Wozniak faisaient dans la journ\u00e9e, mais \u00e7a c\u2019est une autre histoire.)<\/p>\n Le m\u00eame ensemble de protocoles a \u00e9t\u00e9 mis en place plus tard, sur des r\u00e9seaux mobiles. Entre temps, les d\u00e9veloppeurs ont rajout\u00e9 une s\u00e9rie de fonctionnalit\u00e9s. Parmi d\u2019autres choses, le SS7 est utilis\u00e9 pour transf\u00e9rer des SMS.<\/p>\n Mais la s\u00e9curit\u00e9 informatique n\u2019\u00e9tait pas un sujet de pr\u00e9occupation il y a cinquante ans, du moins, pas pour les technologies civiles. L\u2019efficacit\u00e9 \u00e9tait ce qui importait, et c\u2019est ce qui a permis d\u2019obtenir le SS7 efficace mais peu s\u00e9curis\u00e9.<\/p>\n Le principal point faible de ce syst\u00e8me (parmi d\u2019autres syst\u00e8mes con\u00e7us \u00e0 cette \u00e9poque) est qu\u2019il est bas\u00e9 sur la confiance. On a suppos\u00e9 que seuls les op\u00e9rateurs de r\u00e9seau y avaient acc\u00e8s, et on pensait g\u00e9n\u00e9ralement qu\u2019ils \u00e9taient comp\u00e9tents.<\/p>\n Derni\u00e8rement, cependant, le niveau de s\u00e9curit\u00e9 du syst\u00e8me est d\u00e9fini par le moindre membre prot\u00e9g\u00e9<\/a>. Si l\u2019un de ses op\u00e9rateurs est pirat\u00e9, c\u2019est ensuite tout le syst\u00e8me qui l\u2019est. La m\u00eame chose est vraie si n\u2019importe quel administrateur de r\u00e9seau travaillant pour l\u2019un de ces op\u00e9rateurs d\u00e9cide de d\u00e9passer les limites et d\u2019utiliser le SS7 \u00e0 leurs propres fins.<\/p>\n L\u2019acc\u00e8s SS7 peut permettre \u00e0 quelqu\u2019un de mettre sur \u00e9coute des conversations, de d\u00e9terminer la localisation de l\u2019utilisateur, et d\u2019intercepter des SMS, donc il n\u2019est pas \u00e9tonnant que les services secrets de plusieurs pays et les cybercriminels soient des utilisateurs actifs de l\u2019acc\u00e8s SS7 non autoris\u00e9.<\/p>\n De quelle fa\u00e7on se d\u00e9roule r\u00e9ellement l\u2019attaque <\/strong><\/p>\n Dans le cas de la r\u00e9cente attaque en Allemagne, cela s\u2019est pass\u00e9 comme suit\u00a0:<\/p>\n En utilisant le cheval de Troie, les hackers volent des identifiants bancaires et des mots de passe. (Bien s\u00fbr, voler ces informations n\u2019est pas suffisant dans la plupart des cas, le code de confirmation de la banque envoy\u00e9 par SMS est \u00e9galement requis).<\/p>\n L\u2019op\u00e9rateur t\u00e9l\u00e9phonique allemand dont les abonn\u00e9s avaient \u00e9t\u00e9 victimes de ce cas ont confirm\u00e9 l\u2019attaque. L\u2019op\u00e9rateur t\u00e9l\u00e9phonique \u00e9tranger dont l\u2019acc\u00e8s au r\u00e9seau SS7 \u00e9tait utilis\u00e9 pour l\u2019attaque a \u00e9t\u00e9 bloqu\u00e9, et les personnes affect\u00e9es ont \u00e9t\u00e9 averties. On ignore s\u2019ils ont r\u00e9ussi \u00e0 r\u00e9cup\u00e9rer l\u2019argent.<\/p>\n Vous n\u2019avez toujours pas besoin d\u2019antivirus\u00a0? <\/strong><\/p>\n L\u2019authentification \u00e0 deux facteurs est en g\u00e9n\u00e9ral connue pour avoir une s\u00e9curit\u00e9 solide, si nul autre que vous avez acc\u00e8s \u00e0 votre t\u00e9l\u00e9phone mobile, alors qui d\u2019autre pourrait lire un message \u00e0 ce sujet ? Eh bien, quiconque a acc\u00e8s au syst\u00e8me SS7 est int\u00e9ress\u00e9 d\u2019utiliser vos SMS pour obtenir votre argent.<\/p>\n Que pouvez-vous faire pour b\u00e2tir une propre authentification \u00e0 deux facteurs et vous prot\u00e9ger contre des attaques similaires \u00e0 celles d\u00e9crites dans cet article\u00a0? Voici deux conseils.<\/p>\n [banking Trojans banner]<\/strong><\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/05\/06093012\/ss7-banking-attack-featured.jpg\")
Une faille dans le t\u00e9l\u00e9phone<\/strong><\/p>\n\n
\n
\n