Des services comme Twitter ou Instagram vous permettent de vous connecter à votre profil, à condition de confirmer votre identité à l’aide du numéro de téléphone associé au compte. Cependant, cette vérification est vulnérable à la technique appelée « SIM swap scam ».

Sur Instagram comme ailleurs, un compte peut se faire pirater. Aussi, pour être moins vulnérable, même dans le cas où le mot de passe a été compromis, le service de partage de photos a introduit dès 2016 la double authentification. Ce mécanisme de sécurité a reposé pendant les premières années sur la réception d’un code par SMS, à renseigner dans le champ adéquat afin de pouvoir se connecter.

Seulement voilà : cette solution est faillible à une méthode de hacking appelée le « SIM swap scam » (ou Port-Out scam et SIM splitting). En fait, il s’agit d’un type de fraude par prise de contrôle de compte qui cible une faiblesse dans l’authentification à deux facteurs, ce deuxième facteur étant l’envoi d’un SMS ou un appel sur un numéro de téléphone spécifique.

Et Instagram n’est pas le seul réseau social à être exposé à ce risque. Twitter y est aussi sensible. La preuve la plus éclatante de cette vulnérabilité — et aussi la plus gênante pour l’entreprise — est survenue à la fin du mois d’août, lorsque le compte de Jack Dorsey qui a été détourné pendant une poignée de minutes. Quel mauvais signal, en effet, que de voir le fondateur de Twitter lui-même se faire avoir par ce procédé.

Carte SIM « perdue »

Mais comment, concrètement, des tiers parviennent-ils à s’emparer d’un compte protégé par la double authentification (l’autre nom de l’authentification forte, ou authentification à deux facteurs) ?

Le procédé est simple et relève de l’ingénierie sociale : dans les grandes lignes, il s’agit en premier lieu d’appeler le numéro d’assistance d’un opérateur de téléphonie mobile, en prétextant la perte de la carte SIM. Il est alors demandé la portabilité du numéro associée à cette carte « perdue » vers la nouvelle carte SIM, déjà en la possession des usurpateurs, qui leur permettra de recevoir le code par SMS.

Pour tromper la vigilance des interlocuteurs, les tiers malveillants ont en principe d’abord récupéré des informations personnelles, comme le numéro de sécurité sociale ou l’adresse du domicile de la personne propriétaire de la carte SIM, à partir de bases de données piratées. En livrant cette information, ils se font passer pour la victime et obtiennent le transfert du numéro de téléphone vers la nouvelle carte SIM.

cartes sim
Cette stratégie requiert une carte SIM d’arrivée, pour récupérer le numéro de téléphone. // Source : PublicDomainPictures

Une fois cette étape effectuée, la victime ne peut plus utiliser sa propre carte SIM, car une seule carte peut être connectée au réseau avec un numéro donné. Quant au pirate, il peut utiliser la nouvelle carte SIM pour s’identifier à chaque fois que la validation à deux étapes est requise par un site, comme sur Instagram. Il faudra toutefois aussi renseigner le mot de passe, ce qui nécessite sa collecte d’une façon ou d’une autre.

Dans le cas de Jack Dorsey, la façon dont les assaillants ont procédé n’est pas détaillée, mais c’est de toute évidence ainsi que le détournement a pu être réalisé.

La porte est fermée ? Passons par la fenêtre

Ce qui a été constaté, en revanche, c’est que les faux messages émis par Jack Dorsey ont été publiés depuis une plateforme appelée Cloudhopper. Il s’agit d’une société que Twitter a rachetée pour l’aider à développer son service d’envois de tweets par SMS. Il suffisait d’envoyer des messages à un numéro donné pour publier des tweets. C’est certainement de cette façon que les tweets ont pu être publiés sur le compte.

Comme le note The Verge, avec Cloudhopper, les internautes sur Twitter peuvent envoyer des messages en envoyant des textos à un numéro spécifique. C’est une astuce bien pratique pour les téléphones portables de bas étage ou si l’application Twitter n’est pas installée ou disponible. Le service exige seulement que le numéro de téléphone soit relié au compte Twitter, ce que la plupart des utilisateurs font déjà pour des raisons pratiques mais aussi de sécurité.

tweeting twitter
Le service text-to-tweet peut s’avérer utile pour un hackeur. // Source : Matt Biddulph

Dans ces conditions, le contrôle du numéro de téléphone est généralement suffisant pour envoyer des messages sur le compte ciblé.

Pour sa part, le service de communication de Twitter a déclaré le 31 août que « le numéro de téléphone associé au compte a été compromis en raison d’une lacune de sécurité de la part de l’opérateur de téléphonie mobile. Cela permettait à une personne non autorisée de composer et d’envoyer des tweets par SMS à partir du numéro de téléphone. Ce problème est maintenant résolu ».

Selon Twitter, il n’y a aucune raison de croire que d’autres failles aient pu être exploitées ou que d’autres comptes aient été piratés le même jour. L’incident est clos pour le réseau social.

Changement de fusil d’épaule

Face à ces techniques élaborées, les services sont contraints de s’adapter. En octobre 2018, Instagram a annoncé la sortie d’une alternative pour la double authentification, afin de limiter le risque de vol de compte. Depuis, il est possible d’utiliser une application dédiée pour sécuriser son profil. Il faut dire qu’Instagram avait été quelque peu mis en difficulté par les médias quelques mois plus tôt.

À l’été 2018, les investigations de Motherboard avaient révélé que des tiers malveillants piratent des cartes SIM d’utilisateurs d’Instagram pour revendre des identifiants contre des bitcoins. D’après le média, ces comptes volés peuvent valoir entre 500 et 5 000 dollars. Certains pirates impliqués dans ces manœuvres auraient réussi à revendre des identifiants pour l’équivalent de 40 000 dollars en bitcoins.

Pointé du doigt pour sa vulnérabilité au hack par carte SIM, Instagram avait confirmé à nos confrères de TechCrunch qu’il réfléchissait à une solution d’identification à deux facteurs, qui ne nécessite pas l’envoi d’un SMS à un numéro de téléphone. Cependant, des indices publiés sur Twitter avaient montré qu’Instagram travaillait en fait déjà sur ce projet. Le papier de Morherboard n’a fait que précipiter les choses.

L'application Instagram. // Source : Pexels/CC/energic.com (photo recadrée)
L’application Instagram a offert une alternative renforcée pour la double authentification. // Source : energic.com

Dans le cas de Twitter, aucune annonce particulière n’a été faite depuis le hack de Jack Dorsey.

Pour l’heure, Twitter propose trois options pour la double authentification. L’envoi d’un SMS sur le numéro de téléphone associé au compte, l’utilisation d’une application dédiée (comme Google Authenticator) qui génère périodiquement des codes de vérification et la clef de sécurité physique, en la connectant sur l’ordinateur ou en la synchronisant avec le smartphone lié au compte.

Mais peut-être que la plateforme devra-t-elle considérer l’abandon de l’envoi du SMS sur le numéro de téléphone lié au compte. D’autres plateformes qui utilisent cette solution de sécurité, comme Amazon, Ebay, Paypal et Netflix, seraient aussi avisées de s’interroger sur la pertinence d’une telle double authentification, d’autant que certains tiers malveillants se montrent particulièrement actifs.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !