Les pirates peuvent utiliser la messagerie vocale pour pénétrer dans vos comptes en ligne

La messagerie vocale offre des tonnes de commodités à de nombreuses personnes, mais à l'ère de la messagerie électronique, de la messagerie texte et des médias sociaux, est-elle toujours pertinente et nécessaire?



Il peut encore avoir ses utilisations mais selon ce chercheur en sécurité, votre boîte vocale peut être utilisée à d'autres fins malveillantes. Par exemple, réinitialiser les mots de passe de tous vos comptes en ligne comme Google, Microsoft ou Apple, peut-être? Cela semble tiré par les cheveux, mais c'est tout à fait possible.

Continuez à lire et découvrez en quoi consiste cette attaque et ce que vous pouvez faire pour vous protéger.





Faille de la messagerie vocale

Le chercheur en sécurité mobile Martin Vigo a récemment démontré une faille effrayante dans la messagerie vocale lors du congrès DEF CON à Las Vegas la semaine dernière.

Avec lui, un pirate peut s'introduire dans votre messagerie vocale et réinitialiser les mots de passe à une variété de vos comptes en ligne avec un script simple.



Pensez à des comptes comme PayPal, Whatsapp, Netflix, eBay - pratiquement n'importe quel compte qui vous permet de réinitialiser votre mot de passe via un appel téléphonique automatisé.

Vigo a déclaré que la vulnérabilité de messagerie vocale qu'il exploitait était connue depuis longtemps.



Pour combien de temps? Eh bien, il a déclaré que cette faiblesse était documentée depuis plus de 30 ans, mais malgré son potentiel d'abus, aucun des quatre principaux transporteurs ne s'en est occupé jusqu'à présent.

Votre messagerie vocale est le maillon le plus faible

Voilà comment cela fonctionne.

Étant donné que les boîtes de réception de messagerie vocale sont généralement protégées par de simples codes de sécurité à quatre chiffres, un pirate peut simplement exécuter un logiciel de forçage brutal pour deviner le code numérique à pénétrer et accéder aux messages.



L'attaquant, qui possède déjà votre adresse e-mail et votre numéro de téléphone, peut alors demander une demande de mot de passe mais opter pour un appel téléphonique avec le code de réinitialisation à la place.

Avec un autre script, le pirate peut alors utiliser une variété de techniques d'envoi d'appels pour s'assurer que tous vos appels vont directement à la messagerie vocale.

Maintenant que tous vos appels sont acheminés vers votre boîte vocale, devinez qui attend pour récupérer votre code de réinitialisation? Qui d'autre que le pirate qui a désormais accès à tous vos messages vocaux.



Par exemple, un pirate qui vous usurpe l'identité peut demander un message texte de réinitialisation de mot de passe à WhatsApp. Maintenant, après un délai d'une minute, les systèmes de WhatsApp vous donneront également une option pour un appel téléphonique qui lit le code à haute voix à la place.

Vous voyez où cela va? Si un pirate obtient ces messages automatisés, il peut réinitialiser vos mots de passe à votre insu.



Le fait est que, selon Vigo, même l'authentification à deux facteurs ne peut pas vous aider dans ce scénario.

Voici la preuve de concept

Dans la démonstration DEF CON de Vigo, il a montré comment sa méthode fonctionne même pour des services sécurisés comme PayPal.



En fait, PayPal a mis en place des mesures de sécurité pour empêcher les attaques de messagerie vocale comme celle-ci en demandant aux utilisateurs de taper un code à quatre chiffres pendant l'appel. Cependant, Vigo a contourné cela en définissant intelligemment le message d'accueil de la messagerie vocale sur un enregistrement des tonalités du clavier numérique.

Quels services sont vulnérables à cette attaque?

'Réinitialisation du mot de passe pour PayPal, Instagram, Netflix, eBay, LinkedIn', a déclaré Vigo à son auditoire. 'Authentification pour WhatsApp, Signal, Twilio, Google Voice.'

Voici les étapes de base de Vigo pour mener cette attaque:

1. Système de messagerie vocale Bruteforce, utilisant idéalement des numéros de porte dérobée

2. Assurez-vous que les appels vont directement à la messagerie vocale (inondation d'appels, OSINT, HLR)

3. Démarrez le processus de réinitialisation du mot de passe à l'aide de la fonction «Appelez-moi»

4. Écoutez le message enregistré contenant le code secret

5. Profit!

Vigo prévoit de publier bientôt une version modifiée de son code sur GitHub afin que les chercheurs en chapeau blanc puissent étudier et vérifier que cela fonctionne. Il a également considérablement modifié le script afin que les amateurs (communément appelés script kiddies) ne puissent pas saisir le script et commencer à exploiter eux-mêmes les boîtes de réception de messagerie vocale.

Comment protéger vos comptes contre ce piratage

Pour éviter que cette attaque ne vous arrive, il est recommandé de remplacer le code PIN de votre messagerie vocale par un élément aussi long et complexe que possible. (N'utilisez jamais de codes par défaut sur quoi que ce soit.)

Ensuite, protégez votre numéro de téléphone à tout moment. Ne donnez pas votre numéro aux services en ligne, sauf si vous en avez besoin pour une authentification à deux facteurs. Il est conseillé de passer de toute façon à une authentification basée sur les applications, comme Google Authenticator, au lieu de codes basés sur SMS.

Cliquez ici et découvrez comment les codes 2FA basés sur SMS ont conduit au récent piratage de Reddit.

Une autre option consiste à désactiver complètement votre messagerie vocale, surtout si vous ne l'utilisez pas. De toute façon, votre boîte de réception de messagerie vocale est remplie de pourriels et d'appels automatisés. Demandez simplement aux gens de vous envoyer un SMS si vous ne pouvez pas répondre à leurs appels.

Pour une solution plus générale à cette vulnérabilité, Vigo demande à tous les services en ligne de cesser d'utiliser les appels téléphoniques automatisés pour des raisons de sécurité et pour que les opérateurs de téléphonie demandent aux utilisateurs de changer le code PIN de leur boîte de réception de messagerie vocale par défaut en quelque chose de plus difficile à déchiffrer.