Lorsque vous ou vos employés recevez de nouveaux téléphones, il y a un certain nombre de choses à prendre en compte : les forfaits, le matériel et les prix. Cependant, de nombreux consommateurs négligent le recyclage des numéros, qui est une pratique courante chez les fournisseurs. Examinez comment elle facilite certains piratages de téléphones portables moins connus.

À quoi peut servir mon numéro de téléphone ?

La fraude par changement de carte SIM est un phénomène que de nombreux lecteurs connaissent bien. Un acteur hostile tente de prendre le contrôle du numéro de téléphone mobile d’une victime dans ce type d’attaque d’ingénierie sociale. Il y parvient en prétendant être une victime et en contactant un fournisseur de téléphonie mobile. Après avoir été mis en relation avec un agent du service clientèle, il raconte une histoire triste à propos d’un gadget égaré ou d’un téléphone endommagé. Le plan consiste à duper l’entreprise pour qu’elle transfère le numéro de téléphone de la victime vers un autre appareil. L’attaquant peut alors recevoir des appels et des SMS de ses victimes, y compris des jetons d’authentification à deux facteurs (2FA) basés sur des SMS.

Cependant, le succès n’est pas acquis. Comment savoir d ou vient un numéro de téléphone est parfois compliqué. De nombreuses sociétés de téléphonie mobile demandent aux utilisateurs d’utiliser un code PIN pour sécuriser leurs comptes. Lorsqu’un client tente d’apporter des modifications à son compte, il doit saisir son code PIN. Un attaquant aura du mal à exploiter cette méthode d’authentification. Il devra persuader quelqu’un de ne pas respecter la procédure en n’ayant pas besoin de code PIN s’il ne connaît pas le code PIN du client.

Mais que se passerait-il si les attaquants n’avaient pas à déployer autant d’efforts ? Pour obtenir le numéro de téléphone de la cible, les attaques par recyclage de numéros n’utilisent pas de techniques d’ingénierie sociale. Jetons un coup d’œil à certaines d’entre elles.

Qu’est-ce que le recyclage de numéros et comment cela fonctionne-t-il ?

Lorsqu’un utilisateur passe d’un numéro de téléphone mobile à un autre, le danger du recyclage de numéro apparaît. (Cela se produit souvent lorsqu’un client achète un nouvel appareil mobile et choisit également un nouveau numéro de téléphone). Le problème est que le client n’a jamais « possédé » le numéro de téléphone mobile en question. Il lui a été loué récemment. Par conséquent, de nombreux opérateurs offrent la possibilité de transférer l’ancien numéro de téléphone mobile d’un client à un autre client à tout moment – même si cela signifie que le nouveau propriétaire recevra des messages texte, des appels et d’autres communications téléphoniques pour l’ancien propriétaire.

Les attaquants sont bien conscients de la valeur des numéros de téléphone réutilisés. Par conséquent, ils peuvent tenter d’exploiter les sites Web des fournisseurs de téléphonie mobile afin de localiser les numéros de téléphone recyclés disponibles. Ils peuvent utiliser ces numéros pour collecter les IIP des victimes, intercepter les codes d’accès, lancer des attaques de phishing, etc.

Risques pour la vie privée et la sécurité

Un groupe d’universitaires de l’université de Princeton a examiné les problèmes de sécurité et de confidentialité posés par les numéros de téléphone recyclés. Ils ont découvert que des acteurs hostiles peuvent mener jusqu’à huit attaques distinctes via le recyclage de numéros. Les attaques les plus fréquentes sont trois attaques peu coûteuses. Un acteur hostile peut indexer les IIP des anciens propriétaires et détourner des comptes en utilisant la récupération de mots de passe par texte en parcourant les numéros de téléphone disponibles sur le formulaire de changement de numéro en ligne d’un opérateur. Il peut également utiliser des numéros de téléphone recyclés pour obtenir les mots de passe des anciens propriétaires à partir de violations de données, qu’il peut ensuite utiliser pour accéder aux comptes des individus.

Dans la mesure où les attaquants n’ont besoin que d’utiliser le formulaire de changement de numéro en ligne d’un opérateur, les trois méthodes décrites ci-dessus sont peu coûteuses. Elles n’ont pas besoin de tirer parti de failles logicielles spécifiques. C’est le cas parce que les formulaires n’offrent actuellement que des limitations minimales aux tentatives des attaquants de rechercher les numéros de téléphone des propriétaires précédents.

Qu’en est-il du point de vue de l’opérateur ?

Les chercheurs ont examiné les formulaires de changement de numéro en ligne de deux opérateurs de téléphonie mobile. Au cours de leur enquête, ils ont constaté que les opérateurs n’informaient pas les consommateurs à l’avance de leurs pratiques en matière de changement de numéro. Ils étaient également inégaux en ce qui concerne la durée pendant laquelle ils conservaient un numéro de téléphone déconnecté sans utilité avant de le réactiver.

Les chercheurs ont obtenu et suivi 259 numéros de téléphone en utilisant les formulaires de ces opérateurs. La plupart des numéros de téléphone (83%) ont été déterminés comme étant recyclés. Ils ont découvert que 10 % des numéros recyclés continuaient à recevoir des messages de sécurité et de confidentialité de la part de leurs anciens propriétaires après une semaine.

Au moment de l’étude, le nombre total de numéros de téléphone recyclés accessibles chez l’un des opérateurs était d’environ un million. Entre-temps, chaque mois, de nouveaux numéros de téléphone recyclés deviennent accessibles.

Les dangers mentionnés ci-dessus ne sont pas hypothétiques. Des tentatives de détournement de compte ont déjà eu lieu sur un nombre inconnu de comptes d’utilisateurs à la suite du recyclage de numéros. Selon le Los Angeles Times, un membre du Congrès américain a changé de numéro de téléphone en 2016, pour constater que la personne qui a obtenu son ancien numéro de téléphone a certainement reçu des invites de connexion pour ses comptes en ligne. En 2020, un passionné de sécurité a découvert que le recyclage des numéros permettait à certains membres d’Airbnb d’avoir accès aux comptes d’autres utilisateurs.

Mettre fin au recyclage par les numéros

Aucun individu ou organisation ne peut à lui seul faire face aux dangers du recyclage des numéros. Les fournisseurs de téléphonie mobile, pour leur part, devraient faire davantage pour informer clairement les consommateurs des risques du recyclage des numéros. Ils devraient être francs quant à la durée pendant laquelle un numéro de téléphone déconnecté reste indisponible. Ils pourraient également envisager de proposer diverses options de « parking ». Les utilisateurs pourraient ainsi conserver leurs anciens numéros de téléphone hors de la réserve de recyclage pendant un certain temps.

Les utilisateurs de téléphones mobiles et les entreprises peuvent tous deux contribuer à protéger les comptes contre le détournement de compte. Les employeurs peuvent utiliser ces informations pour créer un système d’authentification à deux facteurs dans lequel les utilisateurs n’obtiennent pas d’identifiants de connexion grâce à leur numéro de téléphone. Au lieu de cela, ils peuvent obliger leurs employés à utiliser un logiciel d’authentification par téléphone ou une clé de sécurité physique. Associée à des restrictions d’accès et à la surveillance du réseau, cette méthode permet de défendre le réseau d’une entreprise contre les attaques par recyclage.

Les organisations peuvent également travailler avec leur personnel pour comprendre les meilleures pratiques en matière de sécurité des comptes, en plus de ces mesures de protection. Elles peuvent, par exemple, utiliser une formation continue de sensibilisation à la sécurité pour apprendre à leurs clients les dangers de révéler trop d’informations personnelles identifiables (PII) en ligne. En conséquence, les pirates de comptes seront limités dans le type et la quantité d’informations qu’ils peuvent découvrir sur eux. Par conséquent, les attaquants sont moins susceptibles d’utiliser le recyclage des numéros pour les cibler en premier lieu.

Source : securityintelligence.com