Authentification à deux facteurs : l’arnaque au numéro payant peut se révéler rentable

L’authentification à double facteur, c’est plutôt positif. Sauf quand celle-ci est utilisée par des internautes un peu sournois pour forcer votre système à appeler automatiquement un numéro surtaxé en boucle. C’est la découverte faite par un chercheur belge, Arne Swinnen : celui-ci est parvenu à récupérer 2000 dollars d’Instagram et 500 dollars de Microsoft en abusant de leur système de double authentification pour les rediriger vers un numéro surtaxé sous son contrôle.

Dans un post de blog, il détaille la façon dont il a découvert et exploité cette faille, aujourd’hui signalée et corrigée par les différents services. Et force est de constater que tous n’étaient pas égaux face au problème.

L’authentification à double facteur est une méthode permettant de s’assurer de l’identité d’un utilisateur en lui demandant, en plus du mot de passe classique, un numéro de téléphone auquel le service enverra un SMS ou un appel afin de vérifier la demande d’authentification. Cette méthode permet d’éviter un vol de compte lorsque le mot de passe de l’utilisateur a été diffusé suite au piratage d’un site tiers par exemple.

Arne Swinnen s’est donc penché sur les différentes implémentations de ce système et sur la façon dont il pouvait abuser de celui-ci pour forcer ces différents services à appeler un numéro surtaxé dont il avait le contrôle et qui lui permettait de récupérer l’argent ainsi gagné. Microsoft s’est révélé une cible de choix selon lui : lors de l’inscription d’un nouvel utilisateur sur Office 365, Microsoft demande un numéro de téléphone pour confirmer l’inscription, puis l’appelle. Le système prévoit pourtant des règles permettant de limiter les dégâts : au bout de 7 appels sans parvenir à compléter l’inscription, le numéro est bloqué.

Mais des moyens de contourner ces limitations existent comme l’explique le chercheur. En ajoutant un certain nombre de 0 avant le numéro fourni à Microsoft, le système de double authentification considère qu’il est face à un nouveau numéro, ce qui permet de réutiliser à nouveau un même numéro jusqu’à ce que celui-ci soit bloqué. L’attaquant pouvait également ajouter 4 chiffres aléatoires à la fin de son numéro pour parvenir à faire croire à un nouveau numéro.

Industrialiser l’arnaque ?

Une méthode qu’un attaquant aurait pu automatiser : l’installation de Microsoft permet en effet de passer plusieurs appels de vérifications sur un même numéro en même temps, ce qui permettait de démultiplier l’impact. Arne Swinnen estimait être en mesure de générer 660 euros par numéro surtaxé avant que celui-ci ne soit définitivement bloqué par Microsoft. Instagram était également victime d’une faille de sécurité similaire, bien que les gardes fous mis en place soient différents, Instagram permettait notamment à plusieurs comptes d’avoir le même numéro de téléphone, ce qui permettait de démultiplier le nombre d’appels.

Seul Google semble avoir trouvé une parade convenable en limitant le nombre d’appels liés au système d’authentification à 10 par heure et par numéro. Une méthode qui limite dans une certaine mesure la portée de l’attaque, mais qui ne l’empêche pas complètement. Dans une réaction publiée sur le blog d’Arne Swinnen, Google admet que l’attaque reste possible et qu’il est impossible de la bloquer au vu de la façon dont fonctionne aujourd’hui l’industrie télécom. Google précise néanmoins que des outils sont en place de son côté pour détecter en interne ce type de tentative.

Instagram, Office et Google ont été prévenus par Arne Swinnen de ce problème de sécurité et ont depuis corrigé leurs systèmes d’authentification pour limiter ce type de comportement. Difficile de blâmer les entreprises qui mettent en place ce type de système pour sécuriser les comptes de leurs utilisateurs, mais on ne saurait trop conseiller de jeter un œil sur la facture de téléphone de temps à autre afin de vérifier que le système n’a pas été transformé en source de revenus par un utilisateur peu scrupuleux.

Go to Source


bouton-devis