Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Démonstration d’une attaque à base d’interception de SMS (2FA)

Quand en juillet, j’expliquais qu’activer le 2FA (authentification double facteur) c’était important, mais qu’il valait mieux éviter de recevoir le code par SMS et préférer une application générant des codes uniques (Authenticator ou équivalent), certains me répondaient : « Oui, mais pffff« … (Ou un truc du genre).

Et pourtant, l’exploitation de la faille dans SS7 est tout à fait réalisable. Alors quand je suis tombé sur cette démonstration en vidéo, je me suis dit que j’allais la poster ici pour que vous voyiez comment ça se passe en vrai. Frissons dans le dos garantis

L’exemple de la vidéo cible le site Coinbase (broker de bitcoins) via une récupération de compte Gmail avec code envoyé par SMS. Mais globalement, n’importe quel service qui envoie des codes uniques par SMS (comme votre banque ou votre service email) peut tout à fait être exploité de la même façon.

https://vimeo.com/232678861

Pour réussir ce hack, il a suffit à l’attaquant de connaitre le nom, le pseudo et le numéro de téléphone de la victime. Bref, des informations relativement faciles à trouver.

Vous savez ce qu’il vous reste à faire : utiliser des outils comme Authenticator (ou autre) et exiger de vos services web préférés qu’ils proposent d’autres options que de la 2FA par SMS.

Source


Travailler dans un groupe d’aéronautique ?

Découvrez les offres d’emploi et de stages de Safran dans la data, le digital, le logiciel et les systèmes d’information

Machine Learning, technologie 3D, systèmes de communication ou encore robotique, vous serez amenés à travailler sur différents projets innovants dans une entreprise qui vous laissera entièrement libre de proposer vos idées et qui vous accompagnera dans vos projets.

Vous pourrez peut être travailler sur notre projet Cassiopée : il s’agit du service que l’on rend aux compagnies aériennes, sur l’analyse de leurs données de détection et de déviation par rapport aux standards opérationnels, à des fins de sécurité aérienne.

Si vous n’avez pas peur d’être ambitieux venez consulter nos postes ouverts




Réponses notables

  1. “il a suffit à l’attaquant de connaitre le nom, le pseudo et le numéro de téléphone de la victime”…
    Bah non, il ça ne suffit pas dsl, il faut encore que l’attaquant ait un accès au réseau SS7

  2. Avatar for skepty skepty says:

    Je doute que vous ayez réussi à trouver le site avec de simples dorks Google. Un site web peut-être déployé sans être indexé par Google, sans avoir de nom de domaine, sans répondre sur le port 80, etc. donc lorsque vous dîtes “avec un dork dans google on tombe facilement sur le site en question”, je m’excuse mais j’en doute très fortement.

Continuer la discussion sur Korben Communauté

7 commentaires supplémentaires dans les réponses

Participants