Si un utilisateur oubli son mot de passe de compte Gmail et s’il a activé l’authentification à deux facteurs (2FA), Google lui envoie un SMS ou l’appelle avec un code de six à huit chiffres. Grâce à ce code unique (ce que Google appelle la vérification en deux étapes), il peut à nouveau accéder à son compte. « Cela fait longtemps que les spécialistes de la sécurité recommandent l'authentification à deux facteurs, et c'est une bonne chose. Mais ce n’est pas infaillible », a expliqué David Jacoby, chercheur en sécurité senior au Kaspersky Lab. Lors du Kaspersky Security Analyst Summit organisé du 8 au 11 avril à Singapour, celui-ci a montré comment des criminels parvenaient à détourner facilement la fonction de sécurité pour accéder au compte Gmail d’un utilisateur. Pour y parvenir, ils ont seulement eu besoin de quelques informations facilement disponibles, d'un numéro cible et d'un téléphone pour appeler le service clientèle d'un opérateur de téléphonie. « Plus, d’une bonne dose de culot », a ajouté le chercheur.
Une détournement simplissime
Cette méthode de piratage a été très facilement exploitée en Suède, pays où est basé David Jacoby, dans lequel un service gouvernemental permet à quiconque de retrouver l'opérateur associé à un numéro de mobile. « C'est un peu dingue et je n'en vois pas l’utilité », a déclaré le chercheur. Dans d’autres pays, on trouve aussi ce genre de services, mais souvent sous forme d'abonnement payant. Une fois la cible sélectionnée, le numéro et celui de l’opérateur identifiés, le pirate appelle son opérateur téléphonique et demande que les appels soient redirigés temporairement vers un autre numéro (qui lui appartient). Lors de sa démonstration, le chercheur a pu facilement rediriger les appels d’une autre personne.
Pour obtenir la redirection, il a simplement expliqué au support technique qu’il attendait un appel téléphonique important, mais qu’il n’avait pas son mobile avec lui. « Effectivement, ils ont activé la redirection d’appels vers le numéro que je leur ai indiqué. Nous avons renouvelé le test avec plusieurs opérateurs de téléphonie différents et tous se sont montrés vulnérables à ce genre d'attaque d'ingénierie sociale », a déclaré David Jacoby. Donc, l'attaquant demande simplement à Google d’envoyer un code de vérification par téléphone, ce code lui est transmis via le mobile sur lequel est redirigé l’appel, et il accède au compte très facilement. Facebook, Twitter et Apple offrent une fonction de sécurité similaire. « Ce n'est pas difficile, c'est même super simple », a déclaré le chercheur.
Manque de vigilance
Selon le chercheur en sécurité, les opérateurs ne sont pas assez vigilants. « C'est une vulnérabilité dans leurs routines, ils ne vérifient pas qui vous êtes », a-t-il expliqué. Tous les opérateurs suédois testés ont été informés par le chercheur, et tous ont répondu qu’ils allaient réviser leurs procédures. « Ils doivent au minimum ajouter une sorte de sécurité technique. Par exemple, envoyer un SMS à l’abonné pour l’informer que son numéro est redirigé. Même si celui-ci n'a pas accès à son téléphone, il pourra voir le message en rentrant chez lui, ou en se connectant à l’app de l’opérateur », a-t-il ajouté. « Il y a tellement de failles dans les procédures que la double authentification n'a plus aucun sens ». Le plus cocasse, c’est que la victime doit activer l'authentification à deux facteurs pour que le piratage fonctionne. « Cela signifie qu’en ajoutant une sécurité supplémentaire, il devient encore plus vulnérable ! »