Millions de personnes mises en danger par des liens de connexion envoyés par SMS
Des sites web qui authentifient les utilisateurs par le biais de liens et de codes envoyés par messages texte mettent en péril la vie privée de millions de personnes, les laissant vulnérables aux arnaques, au vol d’identité et à d’autres crimes, selon une recherche récemment publiée.
Les liens sont envoyés aux personnes recherchant une gamme de services, notamment ceux offrant des devis d’assurance, des listes d’emplois et des recommandations de gardiens d’animaux et de tuteurs. Pour éliminer la contrainte de collecter des noms d’utilisateur et des mots de passe, et pour que les utilisateurs les créent et les saisissent, de nombreux services de ce type exigent plutôt que les utilisateurs fournissent un numéro de téléphone portable lors de l’inscription à un compte. Les services envoient ensuite des liens d’authentification ou des codes d’accès par SMS lorsque les utilisateurs souhaitent se connecter.
Facile à exécuter à grande échelle
Un article publié la semaine dernière a identifié plus de 700 points d’accès délivrant de tels messages au nom de plus de 175 services qui mettent en danger la sécurité et la vie privée des utilisateurs. Une pratique qui met les utilisateurs en danger est l’utilisation de liens facilement énumérables, ce qui signifie que les escrocs peuvent les deviner en modifiant simplement le jeton de sécurité, qui apparaît généralement à droite d’une URL. En incrémentant le jeton, par exemple en changeant d’abord 123 en 124 ou ABC en ABD et ainsi de suite, les chercheurs ont pu accéder à des comptes appartenant à d’autres utilisateurs. De là, les chercheurs pouvaient consulter des détails personnels, tels que des demandes d’assurance partiellement remplies.
Dans d’autres cas, les chercheurs auraient pu effectuer des transactions sensibles en se faisant passer pour l’autre utilisateur. D’autres liens utilisaient si peu de combinaisons de jetons possibles qu’ils étaient faciles à forcer brutalement. D’autres exemples de pratiques négligentes étaient des liens permettant aux attaquants ayant obtenu un accès non autorisé d’accéder ou de modifier les données utilisateur sans autre authentification que le fait de cliquer sur un lien envoyé par SMS. De nombreux liens donnent accès au compte des jours, voire des mois après leur envoi, augmentant encore le risque d’accès non autorisé.
Nous soutenons que ces attaques sont simples à tester, vérifier et exécuter à grande échelle, ont écrit les chercheurs des universités du Nouveau-Mexique, d’Arizona, de Louisiane et de l’entreprise Circle. Le modèle de menace peut être réalisé en utilisant du matériel grand public et seulement des connaissances basiques à intermédiaires en matière de sécurité web.
Les messages SMS sont envoyés sans cryptage. Ces dernières années, des chercheurs ont découvert des bases de données publiques de messages texte précédemment envoyés contenant des liens d’authentification et des détails privés, notamment les noms et adresses des personnes. Une telle découverte, datant de 2019, comprenait des millions de messages texte stockés, envoyés et reçus au fil des ans entre une seule entreprise et ses clients. Elle comprenait des noms d’utilisateur et des mots de passe, des demandes de financement universitaire et des messages marketing avec des codes de réduction et des alertes d’emploi.
Malgré l’insécurité connue, la pratique continue de prospérer. Pour des raisons éthiques, les chercheurs derrière l’étude n’avaient aucun moyen de mesurer sa véritable ampleur, car cela nécessiterait de contourner les contrôles d’accès, aussi faibles soient-ils. Comme objectif n’offrant qu’une vue limitée sur le processus, les chercheurs ont examiné les passerelles SMS publiques. Il s’agit généralement de sites web financés par la publicité qui permettent aux gens d’utiliser un numéro temporaire pour recevoir des messages texte sans révéler leur numéro de téléphone. Des exemples de telles passerelles se trouvent ici et ici.
Avec une vue aussi limitée des messages d’authentification envoyés par SMS, les chercheurs n’ont pas pu mesurer la véritable portée de la pratique et les risques de sécurité et de confidentialité qu’elle posait. Néanmoins, leurs conclusions étaient notables.
Les chercheurs ont collecté 332 000 URL uniques livrées par SMS extraites de 33 millions de messages texte, envoyés à plus de 30 000 numéros de téléphone. Les chercheurs ont trouvé de nombreuses preuves de menaces à la sécurité et à la vie privée pour les personnes qui les recevaient. Parmi ceux-ci, selon les chercheurs, les messages provenant de 701 points d’accès envoyés au nom des 177 services exposaient des informations personnellement identifiables critiques. La cause première de l’exposition était une authentification faible basée sur des liens tokenisés pour la vérification. Quiconque possédant le lien pouvait alors obtenir les informations personnelles des utilisateurs, y compris les numéros de sécurité sociale, les dates de naissance, les numéros de compte bancaire et les cotes de crédit, auprès de ces services.
Parmi les 701 services, 125 permettaient une énumération massive d’URL valides en raison d’une faible entropie. Les attaquants qui avaient reçu des liens du même service pouvaient alors facilement modifier les jetons qu’ils possédaient pour accéder aux comptes d’autres personnes.
En raison de la vue limitée sur la pratique, ces chiffres sous-estiment probablement considérablement le nombre réel de services mettant en danger la sécurité et la vie privée des utilisateurs en envoyant de tels liens.
L’envoi probablement généralisé de liens non sécurisés dans les messages SMS signifie qu’il existe peu de mesures concrètes que la plupart des gens peuvent prendre pour se protéger. En prenant du recul et en évaluant les processus d’authentification faibles en général, Muhammad Danish, auteur principal de l’article, a écrit dans un courriel :
Les causes profondes que nous avons trouvées sont liées aux fournisseurs de services et le fardeau pèse sur eux. Nous pouvons dire que les utilisateurs ne devraient pas donner de détails sensibles à des sources non fiables, mais cette suggestion échoue dans notre cas car notre liste comprend même des fournisseurs de services bien établis avec des millions d’utilisateurs actifs. Les utilisateurs peuvent nous aider en signalant aux fournisseurs de services ou en supprimant leurs données jusqu’à ce que le problème soit résolu s’ils constatent l’un de ces problèmes sur un site web.
Une liste des services contrevenants se trouve dans l’article mentionné ci-dessus.
Cette pratique est populaire parce qu’elle impose une friction perçue plus faible sur les clients potentiels. Un autre avantage est que les points d’accès n’ont pas à collecter et stocker les noms d’utilisateur et les mots de passe, qui se sont avérés à maintes reprises faciles à voler par les pirates. Une autre raison pour laquelle ils sont utilisés est la fausse hypothèse des personnes qui configurent le service selon laquelle de tels liens restreindront tous les autres que ceux qui ont envoyé le texte et les mauvaises configurations de points d’accès ou le manque d’examens de sécurité de ceux-ci.
Muhammad, comme d’autres professionnels de la sécurité, a déclaré que les liens d’authentification envoyés par SMS ou par courrier électronique ne sont pas automatiquement dangereux. Les sites soucieux de la confidentialité, notamment DuckDuckGo et 404 Media, ont choisi d’authentifier les utilisateurs avec un lien magique envoyé à l’adresse électronique d’un titulaire de compte.
En ne créant pas de mot de passe avec nous, vous n’avez aucun risque qu’il soit divulgué, et nous n’avons pas à assumer la responsabilité de le garder en sécurité, ont écrit les rédacteurs de 404 Media. Le lien de connexion est envoyé à votre adresse électronique, qui est vraisemblablement protégée par une authentification à deux facteurs, si vous l’avez configurée (ce que vous devriez faire). De nombreuses personnes qui s’opposent à l’utilisation de liens magiques ne réalisent pas que de nombreux services qui exigent un mot de passe se rabattent déjà sur l’équivalent de liens magiques pour la récupération de compte.
Pour être sûrs, les liens magiques doivent avoir une durée limitée pour réduire les risques qu’ils soient utilisés par d’autres. 404 Media indique que les liens expirent dans les 24 heures. Le système d’authentification par courriel de DuckDuckGo fonctionne différemment. Il envoie un long mot de passe à usage unique. On ne sait pas combien de temps le code d’accès reste valide.
Les liens magiques ne conviennent pas non plus aux sites comme Gmail, Office365 ou les banques qui stockent de grandes quantités de données utilisateur et doivent s’appuyer sur des mécanismes robustes de récupération de compte.
Une autre façon de renforcer la sécurité de l’authentification par SMS ou par courrier électronique consiste à exiger un deuxième facteur, en plus du lien envoyé, bien qu’une date de naissance, un code postal ou un autre facteur de faible entropie soit insuffisant. De plus, les tentatives de connexion doivent être limitées en fréquence pour empêcher un attaquant de faire tentative après tentative jusqu’à trouver la bonne.
Pour l’instant, les gens devraient reconnaître que de nombreux liens d’authentification envoyés par SMS qu’ils reçoivent peuvent exposer leurs données sensibles, et cette pratique ne changera probablement pas de sitôt. Parmi les 150 fournisseurs de services concernés que les chercheurs ont pu contacter, seulement 18 ont répondu et seulement sept ont corrigé la faille.
