Imaginez vous un instant que vous vous réveillez paisiblement,vous êtes toujours allongé sur votre lit,vous décidez à ce moment là d’aller consulter votre compte bancaire et vous constatez amèrement que ce dernier ne dispose que 0 unités.Quelle galère!
Vous appelez votre conseillère pour lui expliquer la situation,elle vous demande de ne pas prendre votre patience en mal car elle vous rassure qu’elle va rappeler parce qu’elle devra d’abord rentrer en communication avec ses supérieurs.
Vous êtes en train d’attendre son prochain appel mais vous décidez d’aller également consulter votre boîte mail et vous constatez une fois de plus que votre boîte mail est vide.Laissez moi vous dire que vous vous êtes fait pirater!
C’est à travers cette situation qui pourra certainement vous arrivez dans les prochaines secondes si vous ne lisez pas avec attention cet article que nous allons voir comment il est possible et facile de se faire pirater tous ces comptes en ligne mal sécuriser.
Parlons d’abord d’une attaque très utilisée sur Internet par les personnes malveillantes qui s’appelle l’attaque par Brute force.Cette attaque consiste à tester toutes les combinaisons possibles de mots de passe pour permettre l’accès à un compte en ligne.Si vous utilisez les mots de passe à sécurité faible,sachiez que l’attaquant aura accès à votre compte en ligne.Nous avons parlé de la manière dont nous pouvons obtenir un mot de passer fort dans les livres Survivre sur Internet et L’internet chiffré qui sont deux livres facile à prendre en main.
Maintenant parlons également d’une autre attaque très répandue sur Internet,il s’agit de l’hameçonnage qu’on appelle en anglais le Phishing.Cette attaque consiste à envoyer une fausse page web du site cible à la victime et lorsque ce dernier rentrera son identifiant de connexion et son mot de passe de connexion,la fausse page web va rediriger la victime vers un autre site web voire même vers une autre fausse page lui signale une erreur de connexion ou une autre chose de ce genre.
Et enfin le plus grave c’est lorsqu’une personne se met à écouter votre réseau informatique ou téléphonique à savoir que l’hameçonnage est une autre forme d’attaque par écoute du réseau informatique.Mais nous allons nous concentrez sur l’écoute du réseau téléphonique.
Je vous le dis tout de suite vous pouvez être écouté, vos appels et vos SMS peuvent être interceptés par une personne malveillante.Là vous vous dites mais comment c’est possible.Bah,il suffit que l’attaquant s’invite dans le SS7.
Commençons par comprendre ce que signifie SS7.Pour faire simple,le SS7 veut dire Systèmes de Signalisation numéro 7 (Systèmes de Signalisation # 7) en anglais Signaling System #7.C’est le systèmes qui connecte tous les réseaux mobiles du monde entier.C’est grâce au SS7 qu’on peut faire des appels sans interruption partout dans le monde.Le SS7 dirige les appels vers les réseaux appropriés pour permettre l’établissement de la communication.
Un malfaiteur qui a accès au SS7 peut détourner les communications et les intercepter.Une personne peut donc accéder à ce réseau SS7 s’il est mal sécurisé.Pour se faufiler dans le SS7 ce n’est vraiment pas compliqué,il suffit de posséder un ordinateur et le numéro de téléphone de la cible et d’aller rechercher dans un répertoire en ligne,l’IMSI de la carte SIM puis de rédiger les appels vers la ligne qu’on souhaite.Regardez attentivement la vidéo ci-dessous qui explique les dangers du SS7 .
J’imagine que vous avez maintenant pris conscience lorsque vous avez visionné cette vidéo.
A présent nous allons voir comment nous pouvons protéger nos comptes en ligne sans avoir à donner notre numéro de téléphone comme moyen de double authentification.
La double authentification connue sous le nom de vérification en deux étapes ou de l’authentification à double facteur abrégé A2F(en anglais,two-factor authentication abrégé 2FA) est un mécanisme d’authentification forte qui permet à un utilisateur d’avoir accès à une ressource informatique après avoir présenté deux preuves distinctes à mécanisme d’authentification.
Si vous avez donné votre numéro de téléphone comme moyen d’utilisation pour la double authentification,vous aurez ceci si vous utilisez un compte Gmail:
Si vous vous souvenez,nous avons dit plus haut que vos appels et vos SMS pouvaient être interceptés par une personne malveillante ou un organisme qui en veut à votre peau et qu’il est aussi possible d’obtenir votre identifiant et votre mot de passe à l’aide des différentes attaques citées plus haut.
Voici pourquoi nous vous conseillez vivement d’utiliser un autre moyen de vérification en deux étape en utilisation une application mobile Android ou IOS.Pour activer la vérification en deux étapes,il suffit de vous rendre dans les paramètre de sécurité du compte que vous souhaitez sécuriser.
Pour ma part,j’utilise Gmail et lorsque vous rentrez dans les paramètres de sécurité,vous serez invité à faire un choix entre plusieurs options et vous devrez choisir l’option avec l’application Google Authenticator dont l’interface ressemble à ceci:
Le mot de passe et le code généré par l’application est ce dont nous avons besoin pour pouvoir accéder à notre compte en ligne.Mais nous ne vous conseillons par d’utiliser n’importe quelle application mobile comme celle celle de Google Authenticator car elle ne dispose pas d’une fonctionnalité de verrouillage de l’application car une personne pourrait physiquement s’introduire dans votre téléphone pour récupérer le code généré afin d’accéder à votre compte en ligne.Voici trois bonnes application que j’ai personnellement testé et j’aime énormément:
1)Authy 2)LastPass Authenticator 3)2FA Authenticator
Je vous assure que le choix est très difficile à faire face à ces trois applications.Mais si on me demande de faire un choix coût que coût,je choisirai 2FA Authenticator car il a une unique fonctionnalité que les deux autres n’ont pas c’est qu’il vous envoie le type de navigateur que l’attaquant utilise lorsqu’il veut accéder à votre compte en ligne.
Une fois vous aurez réussi à installer l’une de ces applications mobiles sur votre téléphone,il va falloir l’ouvrir et allez scanner le code QR du compte que vous souhaitez sécuriser à l’aide de cette application.Vous devez ensuite rentrer le code généré de l’application dans le compte à sécuriser et le tour sera joué.Maintenant si vous vous connectez à nouveau à votre compte en ligne,dans mon cas j’utilise Gmail,vous aurez ceci comme résultat:
Lorsque vous verrez une interface semblable apparaître c’est ce que tout s’est bien passé et il vous suffira de rentrer le code généré par l’application mobile pour accéder à votre compte.
Souriez!
Si vous aimeriez savoir si un service dispose d’une solution de sécurité de vérification en deux étapes,vous pouvez consulter le service Two Factor Auth (2FA) qui permet de renseigner sur les différentes types de solution de double authentification que peut proposer un service en ligne.Voici son interface:
Si nous faisons une recherche sur les différents types de solution de double authentification que propose Facebook,nous aurons le résultat suivant:
D’après les solutions proposées par Facebook,nous avons trois moyens de solutions de double authentification mais la solution de sécurité que nous cherchons c’est à dire celle par une application mobile, est celle que nous avons entouré en rouge.
Si nous regardons les solutions de sécurité de double authentification que propose Gmail,nous aurons ceci comme résultat:
Gmail propose quatre solutions de sécurité de double authentification et celle que nous avons choisie plus haut est celle entouré en rouge.
Pour résumé,nous avons avons vu les différentes attaques qui permettent de prendre le contrôle des comptes en ligne,nous avons aussi vu qu’il était possible d’écouter le système de signalisation numéro 7 très facilement en interceptant les appels et les SMS et qu’il fallait absolument éviter d’utiliser son numéro de téléphone comme moyen de vérification en deux étapes et qu’il fallait plutôt choisir une application mobile pour effectuer cette tâche.
Merci et à très bientôt pour un nouvel article. 🙂
Passionné de cryptographie,de sécurité informatique, de mathématiques en gros des nouvelles technologies de l’information et de la communication. J’♥️ aussi le graphisme.Le partage est pour moi le véritable moyen de pouvoir vivre de sa vraie passion.Vous pouvez me contacter de différentes manières:Contact,Facebook,Twitter,Instagram,Pinterest.
Cet article m’a permis d’avoir pas mal d’idées.Le SS7 est vraiment flippant.
Merci pour ce bel article.