Sans doute précipité par une enquête journalistique, Instagram a annoncé travailler sur une double authentification ne nécessitant pas de numéro de téléphone. Le réseau social est en effet la cible d'une pratique consistant à pirater des cartes SIM.

Instagram serait en train de travailler sur une double authentification qui ne nécessiterait pas d’utiliser le numéro de téléphone de l’internaute. Comme l’a noté Motherboard le 17 juillet 2018, le réseau social est en effet particulièrement vulnérable à un certain type de piratage, qui vise les cartes SIM.

Quelques heures après la publication de l’article de Motherboard, Instagram a confirmé à nos confrères de TechCrunch qu’il réfléchissait à une solution d’identification à deux facteurs, qui ne nécessite pas l’envoi d’un sms à un numéro de téléphone.

Si l’enquête a sans doute amené Instagram à précipiter son annonce, fait observer The Verge, l’entreprise semble travailler sur ce projet depuis plus longtemps. Le 16 juillet, Jane Manchun Wong, une ingénieure, a publié plusieurs captures d’écran montrant un aperçu de ce à quoi pourrait ressembler l’authentification à deux facteurs dans Instagram.

Une validation en 2 étapes vulnérable

Pour l’instant, Instagram vous permet de vous connecter à votre compte sur différents appareils, à condition de confirmer votre identité à l’aide du numéro de téléphone associé à votre compte.

Or, cette technique est vulnérable au hack de carte SIM : les investigations de Motherboard ont en effet révélé que des individus mal intentionnés piratent des cartes SIM afin d’utiliser le numéro de téléphone d’utilisateurs d’Instagram, et de les revendre pour obtenir des Bitcoin. D’après le média, ces comptes volés peuvent valoir entre 500 et 5 000 $ (soit entre 430 et 4 300 €). Certains pirates impliqués dans ces manœuvres ont ainsi revendiqué avoir vendu les identifiants du compte @t pour 40 000 $ (en Bitcoin).

Le procédé ne permet pas seulement de dérober des identifiants sur Instagram, mais peut aussi servir aux hackers sur des plateformes comme Amazon, Ebay, Paypal, Netflix ou Hulu. Tant que la double authentification requiert un numéro de téléphone, ces services sont en effet vulnérables en cas de piratage de cartes SIM.

Pixabay/CC0

Carte SIM « perdue »

Mais comment, concrètement, ces chenapans parviennent-ils à s’approprier une carte SIM ? Le procédé est simple et relève de l’ingénierie humaine  : ils appellent en premier lieu le numéro d’assistance d’un opérateur de téléphonie mobile, en expliquant qu’ils ont perdu leur carte SIM. Ils demandent alors à ce que la portabilité du numéro associée à cette carte « perdue » soit effectuée vers une nouvelle carte SIM, déjà en la possession des usurpateurs.

Le plus souvent, ces derniers ont pris soin de se procurer le numéro de sécurité sociale ou l’adresse du domicile de la personne propriétaire de la carte SIM, sur des bases de données piratées déjà disponibles. En donnant cette information, ils parviennent à se faire passer pour leur victime, et obtenir le transfert du numéro de téléphone vers la nouvelle carte SIM.

Les pirates obtiennent la portabilité avec un numéro de sécurité sociale ou une adresse

Une fois cette étape effectuée, la victime ne peut plus utiliser sa propre carte SIM, puisqu’une seule carte peut être connectée au réseau avec un numéro donné. Quant au pirate, il peut utiliser la nouvelle carte SIM pour s’identifier à chaque fois que la validation à deux étapes est requise par un site, comme sur Instagram.

Le réseau social n’est pas le premier à chercher une autre manière d’authentifier en deux étapes ses membres, sans avoir besoin de les joindre avec leur téléphone portable. L’initiative rappelle celle que Google a amorcée il y a un an, avec une technique se passant des SMS lors d’une authentification, au profit d’une notification affichée sur le smartphone.

Partager sur les réseaux sociaux