Après la violation de T-Mobile, les entreprises empêchent les clients de sécuriser leurs comptes

La fuite de données la plus récente de T-Mobile a divulgué les informations personnelles de 53 millions de personnes, avec des noms, des adresses et même des numéros de sécurité sociale divulgués en ligne. Les personnes concernées sont non seulement confrontées au risque d’usurpation d’identité, mais également à la menace croissante de l’échange de carte SIM qui peut permettre aux attaquants de détourner leurs comptes en ligne. Alors que des experts en sécurité ont donné des conseils aux consommateurs sur la façon de se protéger, certaines entreprises bien connues les empêchent activement de sécuriser leurs comptes.

Échanges SIM

Dans un échange de carte SIM, les criminels volent le numéro de téléphone de leur victime en convainquant l’opérateur mobile de transférer le service téléphonique de la victime sur une carte SIM qu’ils contrôlent. La violation de T-Mobile permet aux criminels de le faire plus facilement car elle a divulgué des réponses aux questions que l’opérateur mobile pourrait poser avant d’accepter de changer la carte SIM de la victime. « Dans un scénario hypothétique, si le service client demande à un attaquant les quatre derniers chiffres de votre numéro de sécurité sociale et de votre carte de crédit pour accéder à votre compte, l’attaquant peut désormais répondre correctement à ces défis », note Kevin Lee, chercheur en sécurité et Doctorant au département d’informatique de l’Université de Princeton. « Une fois à l’intérieur, l’attaquant peut demander à l’agent du service client de mettre à jour la carte SIM de votre compte vers une nouvelle en sa possession, ce qui détournera essentiellement tous vos appels et messages entrants. vers l’attaquant. » Autant de comptes en ligne le permettent aux utilisateurs. pour réinitialiser leurs mots de passe et recevoir des codes d’authentification à deux facteurs (2FA) par SMS, une fois qu’un attaquant vole le numéro de téléphone d’un utilisateur, il peut également pirater ses comptes en ligne. Les experts en sécurité ont conseillé aux personnes touchées par la violation de T-Mobile de protéger leurs comptes en activant des méthodes 2FA non basées sur SMS, telles que des applications d’authentification ou des clés de sécurité. Mais toutes les entreprises n’offrent pas cette option à leurs utilisateurs et même lorsqu’elles le font, beaucoup présentent encore des vulnérabilités dans la façon dont elles authentifient leurs utilisateurs, mettant ainsi les comptes clients en danger.

Les entreprises mettent leurs clients en danger

L’année dernière, Lee et une équipe de chercheurs ont mis en garde de nombreuses entreprises bien connues contre ces vulnérabilités dans la façon dont elles authentifient leurs utilisateurs. Venmo, l’application de paiement mobile, est l’une des entreprises qu’elles ont contactées. Un utilisateur de Venmo peut demander une réinitialisation de mot de passe par SMS et recevra également des codes 2FA par SMS – il n’a pas la possibilité d’utiliser une méthode plus sécurisée telle qu’un authentificateur. Cela signifie que si un utilisateur a échangé sa carte SIM, l’attaquant a tout ce dont il a besoin pour détourner le compte Venmo de sa victime et prendre le contrôle de son argent. Comme Venmo, ils permettent aux utilisateurs de réinitialiser leur mot de passe par SMS. Contrairement à Venmo, ils permettent aux utilisateurs de configurer un authentificateur, mais exigent que les utilisateurs reçoivent des codes 2FA par SMS en guise de sauvegarde, ce qui compromet complètement les avantages de sécurité de l’authentificateur. l’attaquant peut réinitialiser son mot de passe et contourner le besoin d’un authentificateur en lui envoyant un code par SMS, lui permettant de pirater le compte de sa victime et de s’emparer de ses sites Web. SMS est activé en tant que sauvegarde. Dans mon compte, par exemple, il me dit  » Vous avez activé l’authentification en deux étapes sur votre compte – boucage  .com, vous devrez entrer votre nom d’utilisateur et votre mot de passe, ainsi qu’un mot de passe unique généré par une application sur votre appareil mobile. Si je fais défiler vers le bas, je peux voir mes méthodes de sauvegarde, mais SMS n’est pas répertorié. Ce n’est que lorsque je me connecte que je vois que SMS est fourni comme option de sauvegarde. (Crédit image : Rebecca Morris) (Crédit image : Rebecca Morris) Dans l’ensemble, Lee et ses collègues ont identifié 17 sites Web qui risquaient de détourner les comptes de leurs clients après un échange de carte SIM. Seuls 4 des 17 ont résolu le problème. comme je l’ai confirmé en testant avec mes propres comptes et en contactant le service client. Dans certains cas, les entreprises n’ont pas pris de mesures parce qu’elles ne comprenaient pas que la façon dont elles authentifiaient les utilisateurs n’était pas sécurisée, ce que Lee a qualifié de  » préoccupant « . D’autres ont reconnu le problème, a-t-il dit, mais ont choisi de ne pas apporter de modifications « par peur de déranger les clients ».

Ce que les entreprises peuvent faire

Les entreprises n’ont pas à prendre de mesures drastiques pour protéger les comptes de leurs clients contre le piratage après un échange de carte SIM. Lee a souligné l’importance de la modélisation des menaces, un processus dans lequel les entreprises analysent les moyens potentiels pour un attaquant d’interagir avec leur site afin de identifier les vulnérabilités et les corriger à l’avance. Quelques-uns des sites les plus sécurisés qu’ils ont analysés s’étaient vraisemblablement engagés dans la modélisation des menaces et avaient eux-mêmes identifié le problème en autorisant l’envoi de réinitialisations de mot de passe et de codes 2FA par SMS. récupération authentifiée pour les comptes pour lesquels la connexion SMS en 2 étapes est activée « , a déclaré Lee. Cela offre au moins une certaine protection si un utilisateur est permuté avec la carte SIM, car les attaquants ne pourront pas accéder au compte de la victime à moins d’avoir également obtenu leur mot de passe par d’autres moyens. Lee et ses collègues ont également recommandé aux entreprises de donner à leurs clients au moins une option 2FA sécurisée, comme une application d’authentification ou une clé de sécurité. Comme ils l’ont souligné, ces options ne sont pas seulement plus sécurisées, mais permettent une authentification plus rapide et peuvent être utilisées sans connexion Internet. Lee a souligné par e-mail que mandater SMS 2FA en tant que sauvegarde « pourrait ne pas répondre aux besoins de sécurité de tout le monde et pourrait même nuire aux utilisateurs », en particulier lorsque cela est fait à leur insu. Il a ajouté que  » la transparence est cruciale  » et que les entreprises doivent fournir aux utilisateurs des informations claires sur les méthodes qu’ils peuvent utiliser pour accéder à leur compte. De cette façon, au moins un utilisateur disposant d’un authentificateur ne sera pas pris au dépourvu s’il est L’échange de carte SIM et la découverte de leur compte sont toujours piratés car SMS 2FA a été activé silencieusement en tant que sauvegarde. Cependant, les entreprises qui continuent à ne rien faire aident les cybercriminels, pas leurs clients.