Vous êtes serein, car vous avez mis une phrase de passe de 72 caractères à Gmail et votre compte Facebook fonctionne avec un système de double authentification.

C’est bien.

Mais vous allez vite déchanter, car une nouvelle méthode testée et approuvée par des chercheurs de Positive Technologies permet de prendre la main sur n’importe quel compte Twitter, Facebook, Telegram, Whatsapp et bien d’autres. Pour cela, il suffit d’exploiter une faille dans le protocole SS7 (Signalling System Number 7) utilisé par quasiment tous les opérateurs du monde entier pour échanger des informations entre eux, faire la facturation partagée, activer le roaming…etc.

Cette faille découverte en 2014 permet de rerouter les SMS et les appels reçus vers un autre numéro de téléphone. Ainsi, en connaissant simplement votre numéro de téléphone, l’attaquant pourrait de manière ciblée faire une demande de mot de passe perdu, et récupérer sur son téléphone, le code de validation nécessaire au changement du mot de passe.

Voici la démonstration du hack (Edit 2020 : vidéo supprimée de YouTube malheureusement)

https://www.youtube.com/watch?v=wc72mmsR6bM

Il n’y a malheureusement pas grand-chose à faire pour se protéger mis à part éviter d’associer son numéro de téléphone avec ses comptes web. Le mieux pour la double authentification, c’est d’utiliser une application dédiée comme Google Authenticator ou de demander à recevoir le code de validation uniquement par email.

Toutefois rassurez-vous, la technique est complexe et nécessite pas mal de moyens. Il faut opérer en pratiquant un bon MITM (Man in the middle) avec un peu de matos comme sur la vidéo ou avoir un accès direct au réseau SS7 (ce qui n’est possible que si on bosse chez un opérateur). Bref, pour Big Brother c’est easy.

Et n’espérez pas que les opérateurs télécom patchent cette faille avant plusieurs années (voire décennies).