La vulnérabilité de la messagerie vocale des téléphones portables est une faille pour le piratage d’autres services numériques
👨💻
[Publicado no Mobile Time] La vulnérabilité découverte dans les systèmes de messagerie vocale des opérateurs téléphoniques peut également être exploitée par des pirates informatiques pour s’introduire dans toute autre application qui envoie un code de vérification lors de l’appel téléphonique. C’est le cas, par exemple, de WhatsApp. L’affaire a fait la une des journaux dans le pays en raison de l’enquête de la police fédérale qui a abouti à l’arrestation de pirates informatiques présumés qui auraient envahi les comptes Telegram de diverses autorités gouvernementales en utilisant la vulnérabilité susmentionnée.
L’attaque aurait utilisé une technique connue sous le nom de « spoofing », qui consiste à falsifier l’identité d’une personne ou d’une entreprise dans un environnement numérique. Le criminel parvient à tromper les systèmes de messagerie vocale des opérateurs, en accédant aux messages enregistrés, lors d’un appel passant par le numéro de la victime.
SindiTelebrasil a été contacté, en tant que représentant des opérateurs mobiles, mais a préféré ne pas commenter la question.
Appel WhatsApp pour reconnaître le compte de la victime lors d’un test réalisé par Mobile Time
Essais
Mobile Time a effectué des tests avec les trois principales applications de messagerie du marché : Facebook Messenger, Telegram et WhatsApp. Deux numéros de téléphone et deux smartphones ont été utilisés, l’un tentant de forcer l’accès aux comptes de l’autre.
Des trois applications, Messenger s’est avérée la plus sûre, car elle n’a pas de confirmation par appel téléphonique ou d’envoi de message à la messagerie vocale. Sur Telegram, la faille est apparue immédiatement vendredi dernier, mais a été corrigée avec l’alerte de la Police fédérale le matin du lundi 29. Et WhatsApp a la même vulnérabilité, et malgré le temps exigeant de l’utilisateur (une heure d’attente avant de demander à recevoir le appel), au final, il a égalé la brèche de son rival dans une nouvelle évaluation.
Découvrez les conclusions par application ci-dessous :
Messager – En cliquant pour saisir le numéro de la victime, l’application donne les options par SMS ou email. Que l’attaquant choisisse le SMS ou l’e-mail, Facebook Messenger ne donne pas la possibilité d’appeler. Il n’y a que l’alternative à « envoyer à nouveau le code ». Et, en forçant l’envoi deux fois par torpille, cette option est bloquée.
Whatsapp – Lorsque l’accès est demandé, l’application de messagerie envoie d’abord un code SMS. Après avoir attendu une minute, l’attaquant peut demander une confirmation via la messagerie vocale. Si la personne n’accepte pas l’appel, le code est enregistré dans la boîte aux lettres de la victime, ouvrant ainsi la voie à l’usurpation par le criminel. Contacté par Mobile Time, WhatsApp a répondu qu’il « recommande fortement d’utiliser la vérification en deux étapes pour éviter ce type d’abus ».
télégramme – Jusqu’à vendredi dernier, lorsque Mobile Time effectuait ses premiers tests, l’application envoyait d’abord un SMS. S’il n’y avait pas de confirmation, il passerait un appel après une période de deux minutes. Et si la victime ne répondait pas, un message tomberait sur la boîte vocale de l’opératrice. Ce lundi, l’application a changé le processus. Maintenant, il n’y a que la confirmation par SMS et, si la personne dit qu’elle n’a pas reçu le texte, elle peut cliquer sur l’option « Je ne l’ai pas reçu » et l’application enverra un e-mail à l’équipe informatique de Telegram pour enquêter sur le problème. .
Messagerie vocale par télégramme envoyée pour tester la boîte aux lettres de la victime
Analyse
José Aragão, directeur de Velip
Selon José Roberto Aragão, directeur technologique de Velip, une entreprise spécialisée dans la sécurité et la vérification vocale, si l’attaque s’est produite de cette manière, comme le rapporte la police fédérale, elle est très simple et ne peut même pas être qualifiée d’invasion de pirates informatiques sophistiqués.
« Dans l’éventuelle attaque de hackers, il est important de dire qu’il n’y avait pas de technologie lourde impliquée. C’était de la pure méthodologie. Il n’est pas nécessaire d’être un informaticien pour mener à bien cette invasion », a déclaré l’exécutif. « S’il y avait eu l’option de l’interactivité (dans l’application ou dans la messagerie vocale), rien de tout cela ne serait arrivé. La sécurité dépend des trois côtés, utilisateur, fournisseur et sociétés de télécommunications. L’un des trois protégés suffisait », il ajoute.
Du côté de l’utilisateur, l’exécutif souligne qu’il y a peu à faire, outre les protections antivirus traditionnelles, l’utilisation de la double authentification (le cas échéant), éviter de laisser l’appareil sans mot de passe, exposé dans un endroit ouvert, connecté à un réseau sans protection ou avec des mots de passe faciles d’accès. En dernier recours, les utilisateurs peuvent désactiver le service de messagerie vocale des opérateurs.
N’oubliez pas de partager l’article avec vos amis !