La Minute Tech : Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents.
Thierry Berthier : Le SIM swapping est une fraude à la téléphonie assez complexe à contrer. Elle exploite les faiblesses du système d’authentification à double facteur (A2F). Ce protocole de sécurité permet de recevoir un code envoyé sur son smartphone par SMS ou via une application pour se connecter ensuite sur un compte personnel en garantissant (en principe) l’identité du détenteur de ce compte. Lorsque l’on choisit de recevoir un code secret par SMS, le protocole comporte certains risques. Un attaquant peut contourner l’identification à double facteur en usurpant l’identité de la cible puis en « volant » virtuellement sa carte SIM. Le vol généralisé de données personnelles facilite ce type d’attaque. L’industrie de la téléphonie n’a pas encore réussi à résoudre le problème du SIM swapping qui peut potentiellement impacter tout utilisateur. Le cas le plus célèbre est sans doute celui de la prise de contrôle éphémère du compte Twitter de Jack Dorsey, PDG de Twitter, et de la publication de messages racistes. Ce genre d’attaque porte clairement atteinte à la crédibilité de la cible et de l’opérateur ! Les messageries des téléphones mobiles peuvent être piratées par des moyens très sophistiqués mais également bien plus simplement en convainquant un opérateur de téléphonie de migrer un compte vers un autre sur un téléphone non autorisé.
L’ingénierie sociale permet d’obtenir des informations exploitables pour mener ce type d’attaque. L’authentification à double facteur (A2F) est en principe très efficace pour réduire le risque de piratage ou d’usurpation d’identité mais la sécurité absolue n’existe pas, c’est même un résultat mathématique ! L’intelligence artificielle apporte de nouvelles approches pour contrer les fraudes par usurpation d’identité. C’est sans doute par des techniques d’apprentissage automatique que le problème du SIM swapping pourra être réduit.
Les transactions bancaires, commerciales et ventes en ligne sont sécurisées par des protocoles cryptographiques qui ont globalement fait leur preuve depuis plus de quinze ans. Encore une fois, la sécurité absolue n’existe pas mais il faut réfléchir en termes de niveau de risque acceptable. Chaque nouveau système apporte de nouveaux risques et induit potentiellement de nouvelles failles de sécurité rapidement exploitables par un attaquant. Il s’agit là d’un principe de systémique qui s’applique sans restriction. La sécurité « by design » pensée dès la conception d’une application permet de réduire le cyber-risque. On est aujourd’hui capable de prouver formellement la sécurité de portions de codes informatique. L’intégrité du matériel (hardware) doit également être prise en compte dans la chaine sécuritaire. Enfin, l’utilisateur humain, souvent qualifié de maillon faible de cette chaine, doit être conscient de l’insécurité numérique ambiante. Une sensibilisation et une éducation dès le plus jeune âge aux bonnes pratiques informatiques peuvent contribuer à réduire le risque numérique. Le développement des cryptomonnaies n’échappe pas au principe d’insécurité. On ne compte plus les attaques sur les plateformes de conversion de bitcoin en devises. Pour autant, les infrastructures de cryptomonnaies se sont renforcées. Comme chacun le sait, plus on est attaqué, plus on développe ses défenses. Ce mécanisme darwinien s’applique aux monnaies électroniques comme à toute entité numérique ouverte aux échanges. On peut parier que la cryptographie quantique provoquera à moyen terme un saut technologique de sécurité pour l’attaquant comme pour le défenseur.
Effectivement, lorsqu’un problème complexe résiste, Google est souvent là pour fournir les premières solutions fiables et pertinentes. On doit s’en féliciter avant de douter des bonnes intentions du géant américain. Bien entendu, la question de la « privacy » et de la sécurité des données personnelles est toujours présente lorsque les européens utilisent les solutions fournies par les GAFA. Cela dit, il ne faut pas tordre la réalité du contexte à trois acteurs : le bon (la cible potentielle d’une attaque), la brute (l’attaquant qui porte préjudice à sa cible) et… le géant (la plateforme ou l’opérateur) qui fournit un service souvent gratuitement en contrepartie de l’utilisation d’une partie des données transitant sur son infrastructure. C’est donc un western numérique dans lequel chacun œuvre pour son propre intérêt.
Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents
Thierry Berthier : Le SIM swapping est une fraude à la téléphonie assez complexe à contrer. Elle exploite les faiblesses du système d'authentification à double facteur (A2F). Ce protocole de ...