Publié initialement à : https://korben.info/rien-quavec-numero-de-telephone-possible-de-hacker-comptes-web-de-quelquun-twitter-facebook-whatsapp-etc.html
Vous êtes serein, car vous avez mis une phrase de passe de 72 caractères à Gmail et votre compte Facebook fonctionne avec un système de double authentification. C’est bien. Mais vous allez vite déchanter, car une nouvelle méthode testée et approuvée par des chercheurs de Positive Technologies permet de prendre la main sur n’importe quel compte Twitter,…
l n’y a malheureusement pas grand-chose à faire pour se protéger mis à
part éviter d’associer son numéro de téléphone avec ses comptes web.
Je ne comprends pas : ce n’est pas le principe même de cette attaque ?
Bah si tu associes ton numéro à un compte, des malandrins peuvent demander un nouveau mot de passe et le faire envoyer sur le numéro de téléphone. D’où le déconseille d’associer son numéro de tel avec un compte web. Plus clair?
Waouuuuu, je ne suis plus serein, du tout. Moi qui étais fier de montrer le système de sécurité proposé par ma banque… Je vais leur envoyer cette note.
Merci Korben, je vais moins bien dormir 
Oulaaa attention: si j’ai bien saisie l’attaque, il est nécessaire d’avoir sous la main un IMSI Catcher placé à coté de la victime pour utiliser cette faille, et ça me semble plutot logique sinon faudrait attaquer les serveurs des télécoms… et là bonjour la galère.
Bref de 1: il faut du matos. De 2: il faut connaitre la position de la victime et placer la machine à portée. De 3: il faut que l’utilisateur utilise son réseau 2G, car par 3G / 4G / Wifi etc… impossible de déchiffrer à la volée les communications.
Il se peut que je n’ai pas bien compris quelque chose hein, ce ne sont que de simples interprétations.
1 « J'aime »
“il suffit d’exploiter une faille dans le protocole SS7”… On n’accède pas à un réseau SS7 comme ça, c’est pas comme hacker un site web ou quelque chose comme ça… Donc le “il suffit de” ne veux pas dire que c’est à la portée de n’importe qui, il faut un certain nombre de moyens pour y parvenir.
Donc à part être une personnalité importante, ou qui suscite un intérêt particulier (financier ou autre), les attaquants ne vont pas s’employer à hacker le facebook de monsieur tout le monde.
2 « J'aime »
en gros ton actu d’aujourd’hui et l’actu d’hier sur les vols d’iphone…combo gagnant?
La news clicbait par excellence où d’après le titre avec simplement le numéro de tél, on se fait même hacker sa maman …
Sauf que quand on regarde d’un peu plus près, il faut :
- récupérer l’IMSI de la personne
- s’enregistrer sur un réseau fictif (ce qui implique de connaitre les clefs d’authentification de la SIM)
- que ce réseau fictif ait accès au réseau réel de l’abonné via un lien SS7 (donc le réseau réel autorise n’importe quel réseau sans vérification, genre openbar la fête au village).
Bref, le POC est valide, mais pour l’appliquer dans le monde réel, il va falloir s’accrocher un peu plus… Ce n’est clairement pas à la portée du premier venu et ca nécessite probablement des complicités avec des entreprises/opérateurs telecom.
Quant à dire que c’est dû à une faille du SS7 découverte récemment, j’en rigole encore, c’est une bonne blague. Le SS7 est un protocole qui a 40 ans, avant même l’avènement du TCP/IP et qui transitait à l’origine exclusivement sur des liaisons TDM (ou chaque bit était compté vu la contrainte temps réel). Autant dire que ca n’a pas du tout été pensé avec une optique de sécurité.
En résumé, beaucoup de bruit pour rien.
2 « J'aime »
Quand est-il de la 2G/3G/4G, est-ce que les data mobiles transitent de la même façon que des appels vocaux/sms normaux ? J’imagine que ce n’est pas le même protocole et que la vulnérabilité (décrite par Korben) présente dans les appels vocaux/sms n’est pas inclue dans les data mobiles ?
Oui moi j’ai rien compris à l’attaque à part que c’était une sorte de Man in the Middle pour SMS …
J’ai tout bon ?
Ca serait bien d’avoir une explication claire et détaillé sur le fonctionnement de la chose, car la vid. n’explique vraiment rien …
Merci
Les seuls à m’envoyer des confirmation sur mon cellulaire c’est… MA BANQUE !!! Grrr !!!
ce sera plus pour les gouvernements contre les lanceurs d’alerte ou les états qui chient sur les droits de l’homme (chine, pays d’afrique,etc.) contre les défenseurs de la liberté, blogueurs, journalistes, LGBT ou autre adversaires politiques…
La fatigue… j’avais pas lu “éviter de”.
Le SS7 n’est pas utilisé que pour la voix, il est aussi utilisé pour une partie de la signalisation data. A partir du moment ou quelqu’un de mal intentionné arrive à se faire passer pour un utilisateur, il recevra les appels et les sms de cet utilisateur, et dans une moindre mesure utiliser le forfait data de l’utilisateur également, mais ca représente un intérêt limité.
En fait ce n’est pas un ‘man in the middle’ mais plutôt du spoofing. Pas besoin d’IMSI catcher pour récupérer une IMSI.
A partir du moment où tu as une interconnexion en SS7 avec le réseau de l’opérateur sur lequel tu cible l’utilisateur, tu peux forger des paquets SS7.
La première difficulté est déjà d’avoir cette interco SS7. Il faut soit un lien direct vers l’opérateur, soit passer par un SS7 carrier. Autant dire que tu dois montrer un minimum patte blanche et que ca ne s’obtient pas comme ca. Mais bon, admettons pour la validité du POC que ca soit le cas.
La deuxième difficulté est de se faire passer pour un autre opérateur ayant un accord de roaming avec l’opérateur cible, ou à minima l’opérateur cible doit avoir le routage SS7 nécessaire pour dialoguer avec l’opérateur fictif. C’est un pré-requis pour pouvoir échanger des messages en SS7 de l’un à l’autre. Admettons à nouveau que ca soit le cas, mais les accords de roaming se négocient et c’est en général pas un truc qu’un opérateur laisse ‘ouvert’.
Maintenant que la connexion SS7 est établie entre le réseau cible et le réseau fictif et que le routage nécessaire pour dialoguer est mis en place, on peut passer à l’étape consistant à forger des paquets SS7.
Le 1er paquet forgé (SRIforSM ici), permet, en fournissant le MSISDN (le numéro de l’utilisateur) visé, de récupérer l’IMSI en réponse. Donc pas besoin d’IMSI catcher et d’être à proximité de l’utilisateur ciblé.
Le 2e paquet forgé (Location Update, qui nécessite l’IMSI) va demander l’enregistrement de l’utilisateur ciblé sur le réseau fictif créé, à la manière du roaming dans un pays étranger vers le réseau cible. C’est là ou j’ai un gros doute sur la méthode, car normalement, le HLR (base utilisateur contenant le profil de l’abonné) du réseau cible va envoyé un challenge avec calcul de clef & co à l’utilisateur afin de s’assurer que c’est bien lui. Ben oui, sinon on pourrait cloner des SIM à la pelle… Là dans l’exemple du hack on ne voit pas du tout ces échanges (Send Authentication Info).
Une fois l’utilisateur enregistré, c’est super simple d’intercepter tous les SMS à destination de l’utilisateur ciblé puisqu’il est enregistré sur le réseau fictif maitrisé par le hacker qui y voit tout ce qui transite. Ca revient à avoir une sonde et regarder tout ce qui passe.
2 « J'aime »
C’est clairement un énorme problème et, comme tu le dis justement, ce ne sera pas corrigé de sitôt. Mais avec les outils de type Google Authenticator, je me suis retrouvé bloqué (sans jamais avoir pu trouver de solution) car, après la panne de mon téléphone, la restauration sauce Google, qui fonctionne très mal - en gros, sur tous les téléphones que j’ai fait à mon boulot, le mieux que j’ai obtenu c’est une restau des applis, sans les conf - ne pas pas remis les comptes que j’avais dans Authenticator (il faut scanner un QR lorsque l’on est connecté à son compte).
Donc par exemple pour Gandi.net et pour Lastpass, j’ai du provisoirement désactiver la double authentification. Dans le premier cas, en leur téléphonant, dans le second parce que j’y avais encore accès sur mon desktop. Mais pour un autre service, je suis toujours bloqué (depuis 6 mois) sans aucun moyen de désactiver la double authentification.
En admettant que le poc fonctionne malgré les difficultés que pollux souligne avec details, j’ai juste un gros doute sur le fait que le sms ne soit pas egalement délivré vers la localisation legitime du profil. Dans cette eventualite, l’utilisateur est aussi prevenu avec le sms (on peut etre dans une zone couverte par plusieurs antennes ou bts). n’est ce pas?
Ou bien si les profils dupliques ne sont pas dans la meme zone geographique, un controle de coherence peut exister au niveau operateur.
Gros doute.
Non justement, l’utilisateur ne peut pas être localisé à deux endroits simultanés. Le HLR (légitime dans le cas du POC) ne conserve que la dernière localisation de l’abonnée (MSC/VLR courant, frauduleux dans le cas du POC) et supprime la localisation précédente en notifiant le MSC/VLR précédent (légitime dans le cas du POC). Les SMS et appels ne sont ainsi dirigés que vers le MSC/VLR courant sur lequel est enregistré l’abonné.
ok, merci pollux pour la precision. Connaissant la rapidité d’émission des sms et le spoofeur spamant la Hlr de la localisation frauduleuse, il est quasiment impossible de recevoir légitimement le sms meme en naviguant soit même de msc en msc. CQFD.
En suivant le fil de lorigine de l’information, on pourra noter que des telco comme Telefonica sont deja en train de travailler la dessus. En attedant un patch de tous les telco, c’est pas glop.
J’ai toujours refusé de transmettre mon numéro de téléphone a quelque site que ce soit pour des raisons évidente de sécurité (comment peut on faire confiance aux géants américains)
Quitte à en être à mon quatrième compte facebook (qui n’a plus aucun contact) je préfère la jouer sécurisé
Merci #Korben pour l’info