Un article de Forbes relatait il y a quelques jours les circonstances d'un vol de bitcoins, via le détournement du numéro de téléphone de la victime. Cette affaire donne l'occasion de sonner l'alarme sur la confiance excessive que mettent de trop nombreux acteurs dans la sécurité des appareils mobiles et les pratiques des opérateurs.
Les faits se sont déroulés en août dernier. Jered Kenna, adepte de longue date de la crypto-devise, s'est fait dérober l'équivalent de plusieurs millions de dollars en bitcoin. Pour parvenir à leurs fins, les malfaiteurs ont employé une technique simple. Armés du numéro de téléphone mobile de leur cible, ils ont manœuvré auprès de son opérateur de télécommunication afin de faire transférer celui-ci chez un concurrent et, de la sorte, en prendre le contrôle. Dès lors, ils ont pu pirater tous les services en ligne reposant sur l'envoi d'un code par SMS pour valider une authentification.
En l'occurrence, en moins de 7 minutes, J. Kenna a perdu les accès à ses comptes de messagerie, bancaires, PayPal… et même à son compte Windows, lui aussi réinitialisé à distance. Son trésor en bitcoin, habituellement conservé hors réseau, était alors connecté pour une opération de routine et, malgré une protection par mot de passe, il a été rapidement siphonné, sans aucun espoir de retour. Le cas n'est pas isolé et le nombre d'attaques similaires est en hausse, bien que le butin ne soit pas toujours aussi élevé.
Si les délits mis en lumière actuellement concernent le bitcoin, ils ne constituent qu'une première vague, affectant naturellement en priorité des profils au potentiel particulièrement « profitable » (les célébrités de la crypto-devise, susceptibles de détenir un portefeuille bien garni, dont l'appropriation est irréversible). Il est cependant apparent que les techniques déployées ont une portée beaucoup plus large. Et plus nos smartphones seront utilisés pour gérer nos données personnelles, plus la tentation de les dérober se développera et plus les risques et leurs conséquences s'aggraveront.
Le cœur du problème n'est pas bien difficile à identifier. Dans toute chaîne de défense, le niveau global de sécurité ne peut dépasser celui de son maillon le plus faible. Or, une myriade de systèmes s'appuient désormais sur un composant qui n'a jamais été conçu comme un élément fort de sécurité : le mobile (et le SMS). Il existe ainsi un écart dramatique entre le besoin de robustesse de ce qui devient progressivement un support de notre identité et les protections mises en œuvre autour d'un outil de communication.
Comme toujours en matière de sécurité, il n'existe malheureusement pas de solution parfaite. Bien sûr, les opérateurs de téléphonie devraient prendre conscience de leur responsabilité (qui pourrait finir par leur coûter cher, incidemment) et instaurer des procédures plus rigoureuses, notamment dans leurs centres d'appel. Mais cela ne suffira probablement pas à long terme, au fur et à mesure de l'augmentation de la rentabilité des attaques. Basculer sur des technologies d'authentification biométriques ? On sait qu'elles ont aussi leurs limites… La lutte contre la cybercriminalité doit encore progresser…
Les faits se sont déroulés en août dernier. Jered Kenna, adepte de longue date de la crypto-devise, s'est fait dérober l'équivalent de plusieurs millions de dollars en bitcoin. Pour parvenir à leurs fins, les malfaiteurs ont employé une technique simple. Armés du numéro de téléphone mobile de leur cible, ils ont manœuvré auprès de son opérateur de télécommunication afin de faire transférer celui-ci chez un concurrent et, de la sorte, en prendre le contrôle. Dès lors, ils ont pu pirater tous les services en ligne reposant sur l'envoi d'un code par SMS pour valider une authentification.
En l'occurrence, en moins de 7 minutes, J. Kenna a perdu les accès à ses comptes de messagerie, bancaires, PayPal… et même à son compte Windows, lui aussi réinitialisé à distance. Son trésor en bitcoin, habituellement conservé hors réseau, était alors connecté pour une opération de routine et, malgré une protection par mot de passe, il a été rapidement siphonné, sans aucun espoir de retour. Le cas n'est pas isolé et le nombre d'attaques similaires est en hausse, bien que le butin ne soit pas toujours aussi élevé.
Si les délits mis en lumière actuellement concernent le bitcoin, ils ne constituent qu'une première vague, affectant naturellement en priorité des profils au potentiel particulièrement « profitable » (les célébrités de la crypto-devise, susceptibles de détenir un portefeuille bien garni, dont l'appropriation est irréversible). Il est cependant apparent que les techniques déployées ont une portée beaucoup plus large. Et plus nos smartphones seront utilisés pour gérer nos données personnelles, plus la tentation de les dérober se développera et plus les risques et leurs conséquences s'aggraveront.
Le cœur du problème n'est pas bien difficile à identifier. Dans toute chaîne de défense, le niveau global de sécurité ne peut dépasser celui de son maillon le plus faible. Or, une myriade de systèmes s'appuient désormais sur un composant qui n'a jamais été conçu comme un élément fort de sécurité : le mobile (et le SMS). Il existe ainsi un écart dramatique entre le besoin de robustesse de ce qui devient progressivement un support de notre identité et les protections mises en œuvre autour d'un outil de communication.
Comme toujours en matière de sécurité, il n'existe malheureusement pas de solution parfaite. Bien sûr, les opérateurs de téléphonie devraient prendre conscience de leur responsabilité (qui pourrait finir par leur coûter cher, incidemment) et instaurer des procédures plus rigoureuses, notamment dans leurs centres d'appel. Mais cela ne suffira probablement pas à long terme, au fur et à mesure de l'augmentation de la rentabilité des attaques. Basculer sur des technologies d'authentification biométriques ? On sait qu'elles ont aussi leurs limites… La lutte contre la cybercriminalité doit encore progresser…
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)