RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange
J'ai pensé pareil... le SMS coute cher mine de rien De : Romain Envoyé : jeudi 11 mai 2023 11:47 À : David Ponzone Cc : MOREAU Benjamin ; Jerome Meyer (Nokia) ; Richard Klein ; Laurent Barme <5...@barme.fr>; FRench Network Operators Group Objet : Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange L'économie sur les SMS ? ;) Le jeu. 11 mai 2023 à 11:46, David Ponzone mailto:david.ponz...@gmail.com>> a écrit : Pour que les banques aient été contraintes/aient choisi de passer du SMS à leur app mobile, il doit y avoir une raison non ? David > Le 11 mai 2023 à 11:34, MOREAU Benjamin via frnog > mailto:frnog@frnog.org>> a écrit : > > Effectivement, l'interception du SMS est toujours possible mais comme l'a > soulevé Laurent; quel est le risque réel ? > > Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application > type "Authenticator". > J'ai l'impression que l'application est plus risquée en fait (si on n'utilise > pas l'OTP mais la validation de connexion de l'appli)... Exemple avec un > hackeur qui récupère les credentials d'un utilisateur et tente de se > connecter... L'application POP une demande de validation qui est généralement > confirmée par les utilisateurs peu attentifs à la sécu. L'utilisateur voit un > pop sur son appli, il la valide en se disant "tiens j'ai du faire un truc." > Encore une fois...l'utilisateur est le premier niveau de risque dans > l'histoire. PS : pour la validation sans savoir, c'est du vécu > > A mon avis, il y a moins de risques qu'il y ait une interception du SMS au > moment de l'authentification (il faut matcher la carte SIM / le n° de tel et > les identifiants...) que le risque de validation sans savoir sur l'appli. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange
Effectivement, l'interception du SMS est toujours possible mais comme l'a soulevé Laurent; quel est le risque réel ? Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application type "Authenticator". J'ai l'impression que l'application est plus risquée en fait (si on n'utilise pas l'OTP mais la validation de connexion de l'appli)... Exemple avec un hackeur qui récupère les credentials d'un utilisateur et tente de se connecter... L'application POP une demande de validation qui est généralement confirmée par les utilisateurs peu attentifs à la sécu. L'utilisateur voit un pop sur son appli, il la valide en se disant "tiens j'ai du faire un truc." Encore une fois...l'utilisateur est le premier niveau de risque dans l'histoire. PS : pour la validation sans savoir, c'est du vécu A mon avis, il y a moins de risques qu'il y ait une interception du SMS au moment de l'authentification (il faut matcher la carte SIM / le n° de tel et les identifiants...) que le risque de validation sans savoir sur l'appli. Benjamin. De : frnog-requ...@frnog.org de la part de Jerome Meyer (Nokia) Envoyé : jeudi 11 mai 2023 08:40 À : Richard Klein ; Laurent Barme <5...@barme.fr> Cc : FRench Network Operators Group Objet : [NewsLetter] Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange Au-delà du SIM swapping et social engineering, il est aussi relativement trivial pour un attaquant d’exploiter les failles du protocole SS7 pour intercepter les SMS pour une dizaine d’euros. Donc effectivement, SMS 2FA est légèrement mieux que pas de 2FA du tout, mais c’est clairement à éviter (et les passkeys qui sont en cours de déploiement avec les fournisseurs d’OS majeurs devraient rendre cela un peu plus facile pour le grand public et plus résistant au phishing que les méthodes actuelles de TOTP etc.). — Jérôme From: frnog-requ...@frnog.org on behalf of Richard Klein Date: Thursday, 11 May 2023 at 08:03 To: Laurent Barme <5...@barme.fr> Cc: FRench Network Operators Group Subject: Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange CAUTION: This is an external email. Please be very careful when clicking links or opening attachments. See the URL nok.it/ext for additional information. Bonjour Laurent, Pour la première partie je ne vais pas te répondre mais voici un exemple de social engineering qui permet de récupérer une sim pour faire des choses pas propre: Sim Swap Pour les scénarios l'intelligence humaine est sans limite et lorsque il s 'agit de détourner par exemple des BTC il y a quelques exemples intéressant. Donc pour moi le SMS avec code n'est pas secure . Un principe de base est que tous ce qui passe sur internet sera publique un jour. Un mobile , l'antenne et le coeur ne sont pas directement sur le net mais il y a beaucoup de maillons faible en périphérie. L'humain est le premier et les Trojans sur les mobiles aussi etc. Avec le sourire je peux presque affirmer que le courrier reste un moyen de communication plus sécurisé que internet et ce n'est pas Mr Bismuth qui va me contredire :-) Lors de traitement d'incident je rencontre de plus en plus de clients avec un Nokia 3310 et encore hier avec un Nokia C3 Je vous laisse deviner pourquoi... Richard Le mer. 10 mai 2023, 23:32, Laurent Barme <5...@barme.fr> a écrit : > Bonjour, > > Le 10/05/2023 à 17:52, Richard Klein a écrit : > > … > > était possible de lire les SMS en décodant le PDU. > > Est-ce encore possible ? > > Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher. > > Encore plus drôle les clefs KI des SIMs étaient disponible . > > > Est-ce toujours le cas ? > > > Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est > indéniable mais, en pratique (dans la vrai vie) ? > > J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une > double > authentification par SMS. > > J'imagine sans problème qu'il doit être relativement facile d'envoyer un > SMS en > falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse > intercepter la réception d'un SMS et en décoder le contenu pour récupérer > un > code et l'exploiter. > > Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou > relations hors du commun), capable d'écouter les ondes GSM et d'en > extraire les > trames destinées à un numéro de portable particulier, quel est le niveau > de > chiffrement pour décoder le SMS (combien de temps cela prendrait) et > quoiqu'il > en soit, comment le faire dans la zone proche du smartphone destinataire > et > comment faire le lien avec une double authentification en cours ? > > Comment empêcher le destinataire légitime de recevoir aussi le SMS (et > imaginer > qu'il ne s'inquiète pas de recevoir un SMS d'authentification non > sollicité) ? > > Et sinon, c'est quoi le contexte, concrètement, du scénario où l'on > exploite un > code de double authentification reçu par SMS ? Quelles sont les hypothèses > préalables ? > > Laurent
RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange
L'incident est terminé. Personnellement, je me pose la question de la pertinence de l'authentification forte par SMS... et surtout de la qualité de service du SMS. Je ne suis pas sûr qu'il y ait des SLA sur les SMS...du coup ce n'est peut-être pas hyper pertinent d'utiliser uniquement le SMS comme second facteur. Si vous avez des avis sur la question, je suis preneur Benjamin. De : frnog-requ...@frnog.org de la part de MOREAU Benjamin via frnog Envoyé : mercredi 10 mai 2023 15:48 À : frnog-al...@frnog.org Objet : [NewsLetter] [FRnOG] [ALERT] Incident SMS/MMS chez Orange Bonjour, Pour info, un incident national est en cours chez Orange depuis ce matin. Plus de réception de SMS / MMS depuis les numéros courts... c'est moche pour les systèmes d'authentification forte par SMS . Si certains disposent de plus d'info... je suis preneur . A priori c'est un problème sur un équipement d'interconnexion mais je n'y connais pas grand chose sur ce type d'infra. Benjamin. --- Liste de diffusion du FRnOG https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=05%7C01%7Cbenjamin.moreau%40imdeo.com%7C6e12842efc9b4abe8c8208db515d429c%7C3b213401e11b48dcbdc0946e05d3f768%7C0%7C0%7C638193233222336352%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C7000%7C%7C%7C=oLs4vql8ok0jRhIEbInZvSI%2BWTEXYYWdRAnNhJ9nxRA%3D=0<http://www.frnog.org/> --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Incident SMS/MMS chez Orange
Bonjour, Pour info, un incident national est en cours chez Orange depuis ce matin. Plus de réception de SMS / MMS depuis les numéros courts... c'est moche pour les systèmes d'authentification forte par SMS . Si certains disposent de plus d'info... je suis preneur . A priori c'est un problème sur un équipement d'interconnexion mais je n'y connais pas grand chose sur ce type d'infra. Benjamin. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Recherche prestataire brassage "esthétique"
Bonjour à tous, Je suis à la recherche d'un prestataire qui aurait possibilité de réaliser un brassage « esthétique » d'une baie 600x600 dans le centre de Paris avant les congés de Noël (notre prestataire a annulé l'intervention à la dernière minute). Le brassage est déjà en place, mais nous avons besoin de rendre la baie la plus esthétique possible même si, finalement, ce n'est pas le plus flexible pour la maintenance. Il faudrait donc remplacer l'ensemble du câblage avec un câblage normalisé. Concrètement, il faut prévoir le remplacement de tous les câbles présents (environ 160 câbles) histoire de faire quelque chose de propre. N'hésitez pas à me solliciter si besoin de photos, infos complémentaires Merci d'avance de vos retours. Benjamin. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] [TECH] Distribution horizontale d'un bâtiment : Cuivre ou Fibre ?
Bonjour à tous, Dans le cadre d'un projet de rénovation de bâtiment, on me pose la question de réaliser la distribution des pièces en fibre optique au lieu du traditionnel RJ45. Pour ma part, je pense que la distribution verticale doit être en fibre (c'est une évidence aujourd'hui) mais pour la distribution horizontale, je ne vois pas quels équipements pourraient utiliser la fibre directement aujourd'hui... à part ajouter des convertisseur fibre-RJ45... Qu'en pensez-vous ? Je suis preneur des arguments pour/contre Merci d'avance ! Benjamin. --- Liste de diffusion du FRnOG http://www.frnog.org/