Au-delà du SIM swapping et social engineering, il est aussi relativement
trivial pour un attaquant d’exploiter les failles du protocole SS7 pour
intercepter les SMS pour une dizaine d’euros. Donc effectivement, SMS 2FA est
légèrement mieux que pas de 2FA du tout, mais c’est clairement à éviter (et les
passkeys qui sont en cours de déploiement avec les fournisseurs d’OS majeurs
devraient rendre cela un peu plus facile pour le grand public et plus résistant
au phishing que les méthodes actuelles de TOTP etc.).
— Jérôme
From: frnog-requ...@frnog.org on behalf of Richard
Klein
Date: Thursday, 11 May 2023 at 08:03
To: Laurent Barme <5...@barme.fr>
Cc: FRench Network Operators Group
Subject: Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange
CAUTION: This is an external email. Please be very careful when clicking links
or opening attachments. See the URL nok.it/ext for additional information.
Bonjour Laurent,
Pour la première partie je ne vais pas te répondre mais voici un exemple de
social engineering qui permet de récupérer une sim pour faire des choses
pas propre:
Sim Swap
Pour les scénarios l'intelligence humaine est sans limite et lorsque il s
'agit de détourner par exemple des BTC il y a quelques exemples intéressant.
Donc pour moi le SMS avec code n'est pas secure .
Un principe de base est que tous ce qui passe sur internet sera publique un
jour.
Un mobile , l'antenne et le coeur ne sont pas directement sur le net mais
il y a beaucoup de maillons faible en périphérie.
L'humain est le premier et les Trojans sur les mobiles aussi etc.
Avec le sourire je peux presque affirmer que le courrier reste un moyen de
communication plus sécurisé que internet et ce n'est pas Mr Bismuth qui va
me contredire :-)
Lors de traitement d'incident je rencontre de plus en plus de clients avec
un Nokia 3310 et encore hier avec un Nokia C3
Je vous laisse deviner pourquoi...
Richard
Le mer. 10 mai 2023, 23:32, Laurent Barme <5...@barme.fr> a écrit :
> Bonjour,
>
> Le 10/05/2023 à 17:52, Richard Klein a écrit :
>
> …
> > était possible de lire les SMS en décodant le PDU.
>
> Est-ce encore possible ?
> > Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher.
> > Encore plus drôle les clefs KI des SIMs étaient disponible .
> >
> Est-ce toujours le cas ?
>
>
> Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est
> indéniable mais, en pratique (dans la vrai vie) ?
>
> J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une
> double
> authentification par SMS.
>
> J'imagine sans problème qu'il doit être relativement facile d'envoyer un
> SMS en
> falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse
> intercepter la réception d'un SMS et en décoder le contenu pour récupérer
> un
> code et l'exploiter.
>
> Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou
> relations hors du commun), capable d'écouter les ondes GSM et d'en
> extraire les
> trames destinées à un numéro de portable particulier, quel est le niveau
> de
> chiffrement pour décoder le SMS (combien de temps cela prendrait) et
> quoiqu'il
> en soit, comment le faire dans la zone proche du smartphone destinataire
> et
> comment faire le lien avec une double authentification en cours ?
>
> Comment empêcher le destinataire légitime de recevoir aussi le SMS (et
> imaginer
> qu'il ne s'inquiète pas de recevoir un SMS d'authentification non
> sollicité) ?
>
> Et sinon, c'est quoi le contexte, concrètement, du scénario où l'on
> exploite un
> code de double authentification reçu par SMS ? Quelles sont les hypothèses
> préalables ?
>
> Laurent Barme
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
