Millions de personnes mises en danger par des liens de connexion envoy\u00e9s par SMS<\/p>\n
Des sites web qui authentifient les utilisateurs par le biais de liens et de codes envoy\u00e9s par messages texte mettent en p\u00e9ril la vie priv\u00e9e de millions de personnes, les laissant vuln\u00e9rables aux arnaques, au vol d’identit\u00e9 et \u00e0 d’autres crimes, selon une recherche r\u00e9cemment publi\u00e9e.<\/p>\n
Les liens sont envoy\u00e9s aux personnes recherchant une gamme de services, notamment ceux offrant des devis d’assurance, des listes d’emplois et des recommandations de gardiens d’animaux et de tuteurs. Pour \u00e9liminer la contrainte de collecter des noms d’utilisateur et des mots de passe, et pour que les utilisateurs les cr\u00e9ent et les saisissent, de nombreux services de ce type exigent plut\u00f4t que les utilisateurs fournissent un num\u00e9ro de t\u00e9l\u00e9phone portable lors de l’inscription \u00e0 un compte. Les services envoient ensuite des liens d’authentification ou des codes d’acc\u00e8s par SMS lorsque les utilisateurs souhaitent se connecter.<\/p>\n
Facile \u00e0 ex\u00e9cuter \u00e0 grande \u00e9chelle<\/p>\n
Un article publi\u00e9 la semaine derni\u00e8re a identifi\u00e9 plus de 700 points d’acc\u00e8s d\u00e9livrant de tels messages au nom de plus de 175 services qui mettent en danger la s\u00e9curit\u00e9 et la vie priv\u00e9e des utilisateurs. Une pratique qui met les utilisateurs en danger est l’utilisation de liens facilement \u00e9num\u00e9rables, ce qui signifie que les escrocs peuvent les deviner en modifiant simplement le jeton de s\u00e9curit\u00e9, qui appara\u00eet g\u00e9n\u00e9ralement \u00e0 droite d’une URL. En incr\u00e9mentant le jeton, par exemple en changeant d’abord 123 en 124 ou ABC en ABD et ainsi de suite, les chercheurs ont pu acc\u00e9der \u00e0 des comptes appartenant \u00e0 d’autres utilisateurs. De l\u00e0, les chercheurs pouvaient consulter des d\u00e9tails personnels, tels que des demandes d’assurance partiellement remplies.<\/p>\n
Dans d’autres cas, les chercheurs auraient pu effectuer des transactions sensibles en se faisant passer pour l’autre utilisateur. D’autres liens utilisaient si peu de combinaisons de jetons possibles qu’ils \u00e9taient faciles \u00e0 forcer brutalement. D’autres exemples de pratiques n\u00e9gligentes \u00e9taient des liens permettant aux attaquants ayant obtenu un acc\u00e8s non autoris\u00e9 d’acc\u00e9der ou de modifier les donn\u00e9es utilisateur sans autre authentification que le fait de cliquer sur un lien envoy\u00e9 par SMS. De nombreux liens donnent acc\u00e8s au compte des jours, voire des mois apr\u00e8s leur envoi, augmentant encore le risque d’acc\u00e8s non autoris\u00e9.<\/p>\n
Nous soutenons que ces attaques sont simples \u00e0 tester, v\u00e9rifier et ex\u00e9cuter \u00e0 grande \u00e9chelle, ont \u00e9crit les chercheurs des universit\u00e9s du Nouveau-Mexique, d’Arizona, de Louisiane et de l’entreprise Circle. Le mod\u00e8le de menace peut \u00eatre r\u00e9alis\u00e9 en utilisant du mat\u00e9riel grand public et seulement des connaissances basiques \u00e0 interm\u00e9diaires en mati\u00e8re de s\u00e9curit\u00e9 web.<\/p>\n
Les messages SMS sont envoy\u00e9s sans cryptage. Ces derni\u00e8res ann\u00e9es, des chercheurs ont d\u00e9couvert des bases de donn\u00e9es publiques de messages texte pr\u00e9c\u00e9demment envoy\u00e9s contenant des liens d’authentification et des d\u00e9tails priv\u00e9s, notamment les noms et adresses des personnes. Une telle d\u00e9couverte, datant de 2019, comprenait des millions de messages texte stock\u00e9s, envoy\u00e9s et re\u00e7us au fil des ans entre une seule entreprise et ses clients. Elle comprenait des noms d’utilisateur et des mots de passe, des demandes de financement universitaire et des messages marketing avec des codes de r\u00e9duction et des alertes d’emploi.<\/p>\n
Malgr\u00e9 l’ins\u00e9curit\u00e9 connue, la pratique continue de prosp\u00e9rer. Pour des raisons \u00e9thiques, les chercheurs derri\u00e8re l’\u00e9tude n’avaient aucun moyen de mesurer sa v\u00e9ritable ampleur, car cela n\u00e9cessiterait de contourner les contr\u00f4les d’acc\u00e8s, aussi faibles soient-ils. Comme objectif n’offrant qu’une vue limit\u00e9e sur le processus, les chercheurs ont examin\u00e9 les passerelles SMS publiques. Il s’agit g\u00e9n\u00e9ralement de sites web financ\u00e9s par la publicit\u00e9 qui permettent aux gens d’utiliser un num\u00e9ro temporaire pour recevoir des messages texte sans r\u00e9v\u00e9ler leur num\u00e9ro de t\u00e9l\u00e9phone. Des exemples de telles passerelles se trouvent ici et ici.<\/p>\n
Avec une vue aussi limit\u00e9e des messages d’authentification envoy\u00e9s par SMS, les chercheurs n’ont pas pu mesurer la v\u00e9ritable port\u00e9e de la pratique et les risques de s\u00e9curit\u00e9 et de confidentialit\u00e9 qu’elle posait. N\u00e9anmoins, leurs conclusions \u00e9taient notables.<\/p>\n
Les chercheurs ont collect\u00e9 332 000 URL uniques livr\u00e9es par SMS extraites de 33 millions de messages texte, envoy\u00e9s \u00e0 plus de 30 000 num\u00e9ros de t\u00e9l\u00e9phone. Les chercheurs ont trouv\u00e9 de nombreuses preuves de menaces \u00e0 la s\u00e9curit\u00e9 et \u00e0 la vie priv\u00e9e pour les personnes qui les recevaient. Parmi ceux-ci, selon les chercheurs, les messages provenant de 701 points d’acc\u00e8s envoy\u00e9s au nom des 177 services exposaient des informations personnellement identifiables critiques. La cause premi\u00e8re de l’exposition \u00e9tait une authentification faible bas\u00e9e sur des liens tokenis\u00e9s pour la v\u00e9rification. Quiconque poss\u00e9dant le lien pouvait alors obtenir les informations personnelles des utilisateurs, y compris les num\u00e9ros de s\u00e9curit\u00e9 sociale, les dates de naissance, les num\u00e9ros de compte bancaire et les cotes de cr\u00e9dit, aupr\u00e8s de ces services.<\/p>\n
Parmi les 701 services, 125 permettaient une \u00e9num\u00e9ration massive d’URL valides en raison d’une faible entropie. Les attaquants qui avaient re\u00e7u des liens du m\u00eame service pouvaient alors facilement modifier les jetons qu’ils poss\u00e9daient pour acc\u00e9der aux comptes d’autres personnes.<\/p>\n
En raison de la vue limit\u00e9e sur la pratique, ces chiffres sous-estiment probablement consid\u00e9rablement le nombre r\u00e9el de services mettant en danger la s\u00e9curit\u00e9 et la vie priv\u00e9e des utilisateurs en envoyant de tels liens.<\/p>\n
L’envoi probablement g\u00e9n\u00e9ralis\u00e9 de liens non s\u00e9curis\u00e9s dans les messages SMS signifie qu’il existe peu de mesures concr\u00e8tes que la plupart des gens peuvent prendre pour se prot\u00e9ger. En prenant du recul et en \u00e9valuant les processus d’authentification faibles en g\u00e9n\u00e9ral, Muhammad Danish, auteur principal de l’article, a \u00e9crit dans un courriel :<\/p>\n
Les causes profondes que nous avons trouv\u00e9es sont li\u00e9es aux fournisseurs de services et le fardeau p\u00e8se sur eux. Nous pouvons dire que les utilisateurs ne devraient pas donner de d\u00e9tails sensibles \u00e0 des sources non fiables, mais cette suggestion \u00e9choue dans notre cas car notre liste comprend m\u00eame des fournisseurs de services bien \u00e9tablis avec des millions d’utilisateurs actifs. Les utilisateurs peuvent nous aider en signalant aux fournisseurs de services ou en supprimant leurs donn\u00e9es jusqu’\u00e0 ce que le probl\u00e8me soit r\u00e9solu s’ils constatent l’un de ces probl\u00e8mes sur un site web.<\/p>\n
Une liste des services contrevenants se trouve dans l’article mentionn\u00e9 ci-dessus.<\/p>\n
Cette pratique est populaire parce qu’elle impose une friction per\u00e7ue plus faible sur les clients potentiels. Un autre avantage est que les points d’acc\u00e8s n’ont pas \u00e0 collecter et stocker les noms d’utilisateur et les mots de passe, qui se sont av\u00e9r\u00e9s \u00e0 maintes reprises faciles \u00e0 voler par les pirates. Une autre raison pour laquelle ils sont utilis\u00e9s est la fausse hypoth\u00e8se des personnes qui configurent le service selon laquelle de tels liens restreindront tous les autres que ceux qui ont envoy\u00e9 le texte et les mauvaises configurations de points d’acc\u00e8s ou le manque d’examens de s\u00e9curit\u00e9 de ceux-ci.<\/p>\n
Muhammad, comme d’autres professionnels de la s\u00e9curit\u00e9, a d\u00e9clar\u00e9 que les liens d’authentification envoy\u00e9s par SMS ou par courrier \u00e9lectronique ne sont pas automatiquement dangereux. Les sites soucieux de la confidentialit\u00e9, notamment DuckDuckGo et 404 Media, ont choisi d’authentifier les utilisateurs avec un lien magique envoy\u00e9 \u00e0 l’adresse \u00e9lectronique d’un titulaire de compte.<\/p>\n
En ne cr\u00e9ant pas de mot de passe avec nous, vous n’avez aucun risque qu’il soit divulgu\u00e9, et nous n’avons pas \u00e0 assumer la responsabilit\u00e9 de le garder en s\u00e9curit\u00e9, ont \u00e9crit les r\u00e9dacteurs de 404 Media. Le lien de connexion est envoy\u00e9 \u00e0 votre adresse \u00e9lectronique, qui est vraisemblablement prot\u00e9g\u00e9e par une authentification \u00e0 deux facteurs, si vous l’avez configur\u00e9e (ce que vous devriez faire). De nombreuses personnes qui s’opposent \u00e0 l’utilisation de liens magiques ne r\u00e9alisent pas que de nombreux services qui exigent un mot de passe se rabattent d\u00e9j\u00e0 sur l’\u00e9quivalent de liens magiques pour la r\u00e9cup\u00e9ration de compte.<\/p>\n
Pour \u00eatre s\u00fbrs, les liens magiques doivent avoir une dur\u00e9e limit\u00e9e pour r\u00e9duire les risques qu’ils soient utilis\u00e9s par d’autres. 404 Media indique que les liens expirent dans les 24 heures. Le syst\u00e8me d’authentification par courriel de DuckDuckGo fonctionne diff\u00e9remment. Il envoie un long mot de passe \u00e0 usage unique. On ne sait pas combien de temps le code d’acc\u00e8s reste valide.<\/p>\n
Les liens magiques ne conviennent pas non plus aux sites comme Gmail, Office365 ou les banques qui stockent de grandes quantit\u00e9s de donn\u00e9es utilisateur et doivent s’appuyer sur des m\u00e9canismes robustes de r\u00e9cup\u00e9ration de compte.<\/p>\n
Une autre fa\u00e7on de renforcer la s\u00e9curit\u00e9 de l’authentification par SMS ou par courrier \u00e9lectronique consiste \u00e0 exiger un deuxi\u00e8me facteur, en plus du lien envoy\u00e9, bien qu’une date de naissance, un code postal ou un autre facteur de faible entropie soit insuffisant. De plus, les tentatives de connexion doivent \u00eatre limit\u00e9es en fr\u00e9quence pour emp\u00eacher un attaquant de faire tentative apr\u00e8s tentative jusqu’\u00e0 trouver la bonne.<\/p>\n
Pour l’instant, les gens devraient reconna\u00eetre que de nombreux liens d’authentification envoy\u00e9s par SMS qu’ils re\u00e7oivent peuvent exposer leurs donn\u00e9es sensibles, et cette pratique ne changera probablement pas de sit\u00f4t. Parmi les 150 fournisseurs de services concern\u00e9s que les chercheurs ont pu contacter, seulement 18 ont r\u00e9pondu et seulement sept ont corrig\u00e9 la faille.<\/p>\n","protected":false},"excerpt":{"rendered":"
Millions de personnes mises en danger par des liens de connexion envoy\u00e9s par SMS Des sites web qui authentifient les utilisateurs par le biais de liens et de codes envoy\u00e9s par messages texte mettent en p\u00e9ril la vie priv\u00e9e de millions de personnes, les laissant vuln\u00e9rables aux arnaques, au vol d’identit\u00e9 et \u00e0 d’autres crimes,<\/p>\n","protected":false},"author":3,"featured_media":493,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[77],"tags":[],"class_list":["post-492","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/comments?post=492"}],"version-history":[{"count":0,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/posts\/492\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media\/493"}],"wp:attachment":[{"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/media?parent=492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/categories?post=492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.blog-actu.com\/index.php\/wp-json\/wp\/v2\/tags?post=492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}