Un iPhone recyclé

Agnès Michaud

Votre ancien numéro de téléphone peut être utilisé pour vous pirater

numéro de téléphone, pirater

La majorité des anciens numéros de téléphone sont encore liés à des comptes en ligne importants qui peuvent être facilement piratés.


Pirater un réseau social grâce au numéro de téléphone associé

Selon les données de la FCC, environ 35 millions de numéros de téléphone sont résilisés tous les ans

Une nouvelle étude a révélé que la majorité de ces numéros restent liés à leur ancien propriétaire, ce qui ouvre la porte à une variété d’attaques qui peuvent faire courir un risque important à leur ancien utilisateur.

La nouvelle étude menée par des chercheurs de l’université de Princeton a porté sur 259 numéros de téléphone mis à la disposition des nouveaux abonnés par deux grands opérateurs de téléphonie mobile.

171 d’entre eux étaient toujours liés à des comptes existants sur des sites Web populaires, ce qui pose d’importants problèmes de confidentialité.

En raison de la manière dont de nombreux comptes en ligne sont configurés, il peut être possible de pirater un compte dès lors que l’on a accès à un numéro de téléphone qui lui est associé.

En cause : Le recyclage des numéros de téléphone

Le recyclage des numéros est une pratique réglementée de l’industrie des télécommunications qui maintient la disponibilité constante de nouveaux numéros de téléphone à dix chiffres lorsque les utilisateurs changent de téléphone et de numéro de téléphone.

Chez les opérateurs qui permettent de visualiser les numéros complets, que ce soit lors de l’inscription ou du changement de numéro, un pirate peut « repérer » un numéro en recherchant les comptes liés et l’historique du propriétaire, le tout avant d’obtenir le numéro recyclé.

L’étude a révélé qu’il existait jusqu’à huit attaques différentes pouvant être utilisées pour exploiter le recyclage des numéros de téléphone

Les pirates n’ont même pas besoin d’exploiter les vulnérabilités des logiciels

Il leur suffit de parcourir les sites Web prépayés des opérateurs de téléphonie mobile pour trouver le numéro de téléphone qu’ils espèrent cibler.

Les interfaces en ligne en question n’imposent que peu de restrictions à la capacité de l’adversaire à naviguer et à obtenir des numéros déjà détenus pour les exploiter.

Pirater le numéro de téléphone

Les chercheurs ont également constaté que 100 des 259 numéros examinés dans leur échantillon étaient associés à des identifiants de connexion déjà divulgués et circulant en ligne, ce qui ouvre la voie à des attaques contournant l’authentification multifactorielle par SMS.

Certains opérateurs mobiles rappellent à leurs clients que les numéros de téléphone inutilisés peuvent toujours être liés à des comptes en ligne, ouvrant la porte à des abus.

Les opérateurs ont imposé peu de restrictions sur la capacité de l’adversaire à parcourir les numéros disponibles et à acquérir des numéros vulnérables

Les opérateurs pourraient atténuer la menace en limitant les requêtes de numéros de téléphone illimités sur leurs sites Web de services prépayés, et en obligeant les utilisateurs à contacter le service clientèle au lieu de permettre la consultation des numéros de téléphone complets en ligne.

De leurs côtés, les utilisateurs qui cherchent à se protéger doivent transférer leur numéro de téléphone existant lorsqu’ils changent d’appareil, ou stocker les numéros qu’ils ne souhaitent plus utiliser dans des services de parking de numéros comme NumberBarn ou un service vocal sur internet comme Google Voice.

L’authentification à deux facteurs par message texte n’est tout simplement pas sûre

  • Qu’il s’agisse du détournement de la carte SIM
  • ou de l’exploitation de failles existantes dans les SMS pour rediriger des SMS sensibles vers des tiers

…les chercheurs affirment que les consommateurs ont intérêt à utiliser des applications de vérification à deux facteurs basées sur le courrier électronique ou des applications d’authentification.

⇒ Cliquez pour lire :

Laisser un commentaire