Même avec des mesures de sécurité considérables en place, Le PDG de Twitter, Jack Dorsey, a été victime d'un compromis embarrassant lorsque des attaquants ont pris le contrôle de son compte sur la plateforme en détournant son numéro de téléphone.

Dorsey est devenue la dernière cible de la fraude dite « échange de carte SIM », qui permet à un fraudeur de tromper un opérateur mobile pour lui faire transférer un numéro, ce qui peut faire perdre le contrôle aux gens non seulement des médias sociaux, mais les comptes bancaires et autres informations sensibles.

Ce type d'attaque cible une faiblesse de « l'authentification à deux facteurs » via SMS pour valider l'accès à un compte, qui est devenue une méthode de rodage populaire ces dernières années.

Twitter a déclaré vendredi que le compte avait été restauré après une brève période au cours de laquelle les attaquants ont publié une série de tweets offensants.

Mais Ori Eisen, fondateur de la société de sécurité Trusona, basée en Arizona, spécialisée dans l'authentification sans mot de passe, a déclaré que la solution rapide ne devrait pas être considérée comme une réponse au vaste problème de la fraude au swap SIM.

"Le problème n'est pas terminé, " Eisen a dit, notant que ces types d'attaques ont été utilisés pour s'emparer d'autres comptes de médias sociaux de premier plan et pour divers types de stratagèmes frauduleux.

Eisen a déclaré qu'il n'est pas clair combien de personnes sont attaquées de cette manière, mais que la technologie automatisée peut créer des milliards d'appels qui incitent les gens à donner des informations ou des mots de passe.

Changer de téléphone, ou fraude ?

Certains analystes affirment que les pirates ont trouvé des moyens d'obtenir facilement suffisamment d'informations pour qu'un opérateur de télécommunications transfère un numéro sur le compte d'un fraudeur, surtout après des piratages de grandes bases de données qui aboutissent à des données personnelles vendues sur le soi-disant « web sombre ».

« Les messages texte des comptes mobiles peuvent être piratés par des techniques matérielles sophistiquées, mais aussi par ce que l'on appelle « l'ingénierie sociale » :convaincre un opérateur mobile de migrer votre compte vers un autre, téléphone non autorisé, " a déclaré R. David Edelman, un ancien conseiller de la Maison Blanche qui dirige un centre de recherche sur la cybersécurité au Massachusetts Institute of Technology.

"Cela ne prend que quelques minutes de confusion pour faire des bêtises comme Dorsey l'a vécu."

Des milliers de ces attaques ont été signalées dans des pays où les paiements mobiles sont courants, y compris au Brésil, Mozambique, Inde et Espagne.

Les chercheurs de la société de sécurité Kaspersky affirment que les systèmes de sécurité de nombreux opérateurs mobiles "sont faibles et laissent les clients ouverts aux attaques par échange de carte SIM", en particulier si les attaquants sont en mesure de collecter des informations telles que les dates de naissance et d'autres données.

Dans un récent article de blog, Les chercheurs de Kaspersky, Fabio Assolini et Andre Tenreiro, ont déclaré que certains cas provenaient de cybercriminels payant des employés corrompus d'opérateurs de téléphonie mobile, pour aussi peu que 10 à 15 dollars par victime.

« L'intérêt de telles attaques est si grand chez les cybercriminels que certains d'entre eux ont décidé de la vendre comme un service à d'autres, ", ont écrit les chercheurs.

Au Brésil, certains criminels ont repris les comptes WhatsApp des victimes, l'utiliser pour demander aux amis de la personne « paiement urgent, " ont écrit Assolini et Tenreiro.

« Mûr » pour la fraude

"C'est une avenue assez mûre pour la fraude, " dit Joseph Hall, technologue au Center for Democracy &Technology à Washington.

Hall a déclaré que certains opérateurs utilisent l'intelligence artificielle pour séparer les remplacements légitimes de cartes SIM de la fraude, mais que cela n'a pas été universellement déployé.

"Je reprocherais aux transporteurs de ne pas avoir de moyens plus robustes pour authentifier les utilisateurs, " il ajouta, tout en appelant Twitter à offrir de meilleures garanties.

Un faux tweet du président ou d'une autre personne éminente pourrait avoir des « conséquences dévastatrices, " comme une chute des marchés financiers, dit Hall.

"Ce genre de chose devient difficile à contrer, parce que même après que l'information soit sortie, c'est un canular, les gens peuvent ne pas le croire, " il a dit.

L'affaire Dorsey, Hall a dit, souligne la nécessité de meilleures formes d'authentification, en particulier pour les grandes plateformes en ligne comme Facebook et Twitter où les messages peuvent avoir un impact.

Cela peut impliquer une clé physique qui se connecte à un appareil ou à un système logiciel tel que Google Authenticator, a noté Hall.

Eisen a dit que paradoxalement, la poussée pour des mots de passe plus longs et plus complexes a conduit à une plus grande utilisation de messages texte non sécurisés pour l'authentification.

"Les praticiens de la sécurité doivent accepter le fait que ce qui fonctionnait ne fonctionne plus maintenant, " il a dit.

"Nous devons rechercher des solutions qui ne sont pas si facilement exploitées par les méchants et qui sont faciles à adopter pour les gens."

© 2019 AFP