Sur Instagram comme ailleurs, un compte peut se faire pirater. Aussi, pour être moins vulnérable, même dans le cas où le mot de passe a été compromis, le service de partage de photos a introduit dès 2016 la double authentification. Ce mécanisme de sécurité a reposé pendant les premières années sur la réception d’un code par SMS, à renseigner dans le champ adéquat afin de pouvoir se connecter.
Seulement voilà : cette solution est faillible à une méthode de hacking appelée le « SIM swap scam » (ou Port-Out scam et SIM splitting). En fait, il s’agit d’un type de fraude par prise de contrôle de compte qui cible une faiblesse dans l’authentification à deux facteurs, ce deuxième facteur étant l’envoi d’un SMS ou un appel sur un numéro de téléphone spécifique.
Et Instagram n’est pas le seul réseau social à être exposé à ce risque. Twitter y est aussi sensible. La preuve la plus éclatante de cette vulnérabilité — et aussi la plus gênante pour l’entreprise — est survenue à la fin du mois d’août, lorsque le compte de Jack Dorsey qui a été détourné pendant une poignée de minutes. Quel mauvais signal, en effet, que de voir le fondateur de Twitter lui-même se faire avoir par ce procédé.
Carte SIM « perdue »
Mais comment, concrètement, des tiers parviennent-ils à s’emparer d’un compte protégé par la double authentification (l’autre nom de l’authentification forte, ou authentification à deux facteurs) ?
Le procédé est simple et relève de l’ingénierie sociale : dans les grandes lignes, il s’agit en premier lieu d’appeler le numéro d’assistance d’un opérateur de téléphonie mobile, en prétextant la perte de la carte SIM. Il est alors demandé la portabilité du numéro associée à cette carte « perdue » vers la nouvelle carte SIM, déjà en la possession des usurpateurs, qui leur permettra de recevoir le code par SMS.
Pour tromper la vigilance des interlocuteurs, les tiers malveillants ont en principe d’abord récupéré des informations personnelles, comme le numéro de sécurité sociale ou l’adresse du domicile de la personne propriétaire de la carte SIM, à partir de bases de données piratées. En livrant cette information, ils se font passer pour la victime et obtiennent le transfert du numéro de téléphone vers la nouvelle carte SIM.
Une fois cette étape effectuée, la victime ne peut plus utiliser sa propre carte SIM, car une seule carte peut être connectée au réseau avec un numéro donné. Quant au pirate, il peut utiliser la nouvelle carte SIM pour s’identifier à chaque fois que la validation à deux étapes est requise par un site, comme sur Instagram. Il faudra toutefois aussi renseigner le mot de passe, ce qui nécessite sa collecte d’une façon ou d’une autre.
Dans le cas de Jack Dorsey, la façon dont les assaillants ont procédé n’est pas détaillée, mais c’est de toute évidence ainsi que le détournement a pu être réalisé.
La porte est fermée ? Passons par la fenêtre
Ce qui a été constaté, en revanche, c’est que les faux messages émis par Jack Dorsey ont été publiés depuis une plateforme appelée Cloudhopper. Il s’agit d’une société que Twitter a rachetée pour l’aider à développer son service d’envois de tweets par SMS. Il suffisait d’envoyer des messages à un numéro donné pour publier des tweets. C’est certainement de cette façon que les tweets ont pu être publiés sur le compte.
Comme le note The Verge, avec Cloudhopper, les internautes sur Twitter peuvent envoyer des messages en envoyant des textos à un numéro spécifique. C’est une astuce bien pratique pour les téléphones portables de bas étage ou si l’application Twitter n’est pas installée ou disponible. Le service exige seulement que le numéro de téléphone soit relié au compte Twitter, ce que la plupart des utilisateurs font déjà pour des raisons pratiques mais aussi de sécurité.
Dans ces conditions, le contrôle du numéro de téléphone est généralement suffisant pour envoyer des messages sur le compte ciblé.
Pour sa part, le service de communication de Twitter a déclaré le 31 août que « le numéro de téléphone associé au compte a été compromis en raison d’une lacune de sécurité de la part de l’opérateur de téléphonie mobile. Cela permettait à une personne non autorisée de composer et d’envoyer des tweets par SMS à partir du numéro de téléphone. Ce problème est maintenant résolu ».
Selon Twitter, il n’y a aucune raison de croire que d’autres failles aient pu être exploitées ou que d’autres comptes aient été piratés le même jour. L’incident est clos pour le réseau social.
Changement de fusil d’épaule
Face à ces techniques élaborées, les services sont contraints de s’adapter. En octobre 2018, Instagram a annoncé la sortie d’une alternative pour la double authentification, afin de limiter le risque de vol de compte. Depuis, il est possible d’utiliser une application dédiée pour sécuriser son profil. Il faut dire qu’Instagram avait été quelque peu mis en difficulté par les médias quelques mois plus tôt.
À l’été 2018, les investigations de Motherboard avaient révélé que des tiers malveillants piratent des cartes SIM d’utilisateurs d’Instagram pour revendre des identifiants contre des bitcoins. D’après le média, ces comptes volés peuvent valoir entre 500 et 5 000 dollars. Certains pirates impliqués dans ces manœuvres auraient réussi à revendre des identifiants pour l’équivalent de 40 000 dollars en bitcoins.
Pointé du doigt pour sa vulnérabilité au hack par carte SIM, Instagram avait confirmé à nos confrères de TechCrunch qu’il réfléchissait à une solution d’identification à deux facteurs, qui ne nécessite pas l’envoi d’un SMS à un numéro de téléphone. Cependant, des indices publiés sur Twitter avaient montré qu’Instagram travaillait en fait déjà sur ce projet. Le papier de Morherboard n’a fait que précipiter les choses.
Dans le cas de Twitter, aucune annonce particulière n’a été faite depuis le hack de Jack Dorsey.
Pour l’heure, Twitter propose trois options pour la double authentification. L’envoi d’un SMS sur le numéro de téléphone associé au compte, l’utilisation d’une application dédiée (comme Google Authenticator) qui génère périodiquement des codes de vérification et la clef de sécurité physique, en la connectant sur l’ordinateur ou en la synchronisant avec le smartphone lié au compte.
Mais peut-être que la plateforme devra-t-elle considérer l’abandon de l’envoi du SMS sur le numéro de téléphone lié au compte. D’autres plateformes qui utilisent cette solution de sécurité, comme Amazon, Ebay, Paypal et Netflix, seraient aussi avisées de s’interroger sur la pertinence d’une telle double authentification, d’autant que certains tiers malveillants se montrent particulièrement actifs.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.