Des pirates vident des comptes bancaires en détournant des SMS
L’accès frauduleux au réseau de signalisation mondial SS7 permet aux hackers de recevoir les codes de validation par SMS et de confirmer les virements effectués en ligne. Une première.
Depuis des années, les chercheurs en sécurité alertent les opérateurs de télécommunication sur des failles sur leurs réseaux et le risque qu’elles représentent pour les abonnés... sans grand résultat. Or, il s’avère que ces failles sont désormais exploitées par des pirates, notamment pour vider des comptes bancaires grâce à des virements effectués en ligne. D’après le journal Süddeutsche Zeitung, plusieurs personnes ont été victimes de ce type d’attaque en Allemagne en janvier dernier, comme l’a confirmé l’opérateur O2.
L’attaque, relativement complexe, se déroule en deux étapes. Dans un premier temps, il s’agit de piéger la victime par des e-mails de phishing, pour qu’ils révèlent leur numéro de compte, leur mot de passe et le numéro de leur téléphone portable. Ces informations permettent aux attaquants de se connecter en ligne sur son compte bancaire et de voir s’il est bien approvisionné. Si c’est le cas, les pirates vont alors vider le compte par un virement en ligne.
SS7, un réseau ouvert à tout vent
Cette deuxième étape n’est pas si simple. En Allemagne, les virements doivent être validés par l’utilisateur en renseignant un code reçu par SMS, appelé « mTAN ». Mais cette protection n’est pas suffisante, car les pirates sont capables de détourner ce SMS pour qu’il tombe sur l’un de leurs téléphones portables. Dès lors, rien n’empêche le virement d’être exécuté.
Mais comment ces pirates peuvent-ils détourner les SMS de leurs victimes ? Grâce aux failles de SS7, un protocole de signalisation vieillissant utilisé par les opérateurs télécoms pour gérer leurs appels. En 2014, à l’occasion de la conférence 31C3, plusieurs chercheurs en sécurité avaient révélé des vulnérabilités dans ce protocole et démontré qu’elles permettaient de détourner des appels et des SMS, voire même d’écouter des conversations par des techniques de type « Man in the middle ».
La seule condition pour réaliser cette attaque est de pouvoir se connecter au réseau de signalisation SS7. En théorie, seuls les acteurs télécoms y ont accès, mais en réalité il est possible, dans certains pays, d’obtenir des accès pour quelques centaines ou milliers d’euros. Dès lors, si l’on se connecte au réseau SS7 depuis un pays tiers, on peut interférer sur les requêtes de signalisation partout dans le monde. Et c’est exactement ce qui s’est passé en Allemagne.
Une attaque également possible en France
En France, le risque d'être victime d'une telle arnaque est loin d'être nul. Généralement, les banques françaises n'envoient pas de code de validation par SMS pour les virements, mais elles en envoient un lorsqu'on ajoute un compte bénéficiaire externe au travers du site en ligne. Puis elles envoient parfois un second SMS pour confirmer au client de l’ajout de ce compte.
Ce message texte peut même être doublé d’un email envoyé dans la boîte aux lettres de son compte. En utilisant la technique décrite ci-dessus, un pirate pourrait détourner les deux SMS et effacer l’email de confirmation dans la boîte aux lettres. Le client ne se douterait pas de l’ajout d’un compte bénéficiaire et le pirate pourrait vider son compte sans qu’il s’en aperçoive.
Le point positif de cette histoire, c’est que les opérateurs d’outre-Rhin ont désormais mis en place des contrôles d’accès plus strictes qui empêchent ce type d’attaque. Espérons que les opérateurs des autres pays se pencheront également sur ce problème. Mais les banques n’ont pas forcément besoin d’attendre que les opérateurs se bougent.
Des solutions efficaces existent d’ores et déjà. Ainsi, elles pourraient systématiser l’authentification à deux étapes pour chaque connexion et opération réalisée en ligne, mais pas en utilisant des codes par SMS. Le deuxième facteur d’authentification pourrait être apporté par une application tierce telle que Google Authenticator, ou directement par l’application mobile bancaire. Ce qui permettrait d’éviter les failles SS7.