subject:"\[FRnOG\] \[ALERT\] Incident SMS\/MMS chez Orange"

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Paul Rolland (ポール・ロラン)

Bonjour,

On Thu, 11 May 2023 09:51:19 +
Nicolas DELAMOTTE  wrote:

> Quand tu vois que Paylib fait payer l'option rappel sms à 20 cents, c'est
> que le cout du sms doit être quand même signifiant. J

Non, c'est juste que 20cts, par rapport au prix de l'amende si tu es en
retard, ca te parait derisoire, et tu l'acceptes, ce qui leur fait un beau
benef. a la fin de l'annee.

Paul

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Richard Klein

Bonjour,

Le SMS c est de la signalisation au même titre que d'envoyer un DTMF .
C'est un gros raccourci que je fais mais pas sûr que a 3cents l opérateur
perde beaucoup d argent !

Richard

Le jeu. 11 mai 2023, 11:53, David Ponzone  a
écrit :

> Sur ce genre de volumes, un SMS se paie à peine 3cts.
>
> > Le 11 mai 2023 à 11:51, Nicolas DELAMOTTE  a
> écrit :
> >
> > Quand tu vois que Paylib fait payer l'option rappel sms à 20 cents,
> c'est que le cout du sms doit être quand même signifiant.
> > Je me souviens aussi des packs sms pour des procédures d'alertes, ce
> n'est pas donné du tout non plus ça 
> >
> >
> > Nicolas DELAMOTTE
> > Responsable Build
> >
> > Email : ndelamo...@globalsp.com 
> >
> > Direct :+33 (0)1 44 70 48 08
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet David Ponzone

Sur ce genre de volumes, un SMS se paie à peine 3cts.

> Le 11 mai 2023 à 11:51, Nicolas DELAMOTTE  a écrit :
> 
> Quand tu vois que Paylib fait payer l'option rappel sms à 20 cents, c'est que 
> le cout du sms doit être quand même signifiant. 
> Je me souviens aussi des packs sms pour des procédures d'alertes, ce n'est 
> pas donné du tout non plus ça 
> 
> 
> Nicolas DELAMOTTE
> Responsable Build
> 
> Email : ndelamo...@globalsp.com 
> 
> Direct :+33 (0)1 44 70 48 08
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Nicolas DELAMOTTE

Quand tu vois que Paylib fait payer l'option rappel sms à 20 cents, c'est que 
le cout du sms doit être quand même signifiant. 
Je me souviens aussi des packs sms pour des procédures d'alertes, ce n'est pas 
donné du tout non plus ça 


Nicolas DELAMOTTE
Responsable Build

Email : ndelamo...@globalsp.com

Direct :    +33 (0)1 44 70 48 08


   
 

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de MOREAU 
Benjamin via frnog
Envoyé : jeudi 11 mai 2023 11:49
À : Romain ; David Ponzone 
Cc : Jerome Meyer (Nokia) ; Richard Klein 
; Laurent Barme <5...@barme.fr>; FRench Network 
Operators Group 
Objet : RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

J'ai pensé pareil... le SMS coute cher mine de rien


De : Romain 
Envoyé : jeudi 11 mai 2023 11:47
À : David Ponzone  Cc : MOREAU Benjamin 
; Jerome Meyer (Nokia) ; 
Richard Klein ; Laurent Barme <5...@barme.fr>; FRench 
Network Operators Group  Objet : Re: [FRnOG] [ALERT] Incident 
SMS/MMS chez Orange

L'économie sur les SMS ? ;)

Le jeu. 11 mai 2023 à 11:46, David Ponzone 
mailto:david.ponz...@gmail.com>> a écrit :
Pour que les banques aient été contraintes/aient choisi de passer du SMS à leur 
app mobile, il doit y avoir une raison non ?

David

> Le 11 mai 2023 à 11:34, MOREAU Benjamin via frnog 
> mailto:frnog@frnog.org>> a écrit :
>
> Effectivement, l'interception du SMS est toujours possible mais comme l'a 
> soulevé Laurent; quel est le risque réel ?
>
> Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application 
> type "Authenticator".
> J'ai l'impression que l'application est plus risquée en fait (si on n'utilise 
> pas l'OTP mais la validation de connexion de l'appli)... Exemple avec un 
> hackeur qui récupère les credentials d'un utilisateur et tente de se 
> connecter... L'application POP une demande de validation qui est généralement 
> confirmée par les utilisateurs peu attentifs à la sécu. L'utilisateur voit un 
> pop sur son appli, il la valide en se disant "tiens j'ai du faire un truc."
> Encore une fois...l'utilisateur est le premier niveau de risque dans 
> l'histoire. PS : pour la validation sans savoir, c'est du vécu 
>
> A mon avis, il y a moins de risques qu'il y ait une interception du SMS au 
> moment de l'authentification (il faut matcher la carte SIM / le n° de tel et 
> les identifiants...) que le risque de validation sans savoir sur l'appli.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Daniel via frnog




Le 11/05/2023 à 11:46, David Ponzone a écrit :

Pour que les banques aient été contraintes/aient choisi de passer du SMS à leur 
app mobile, il doit y avoir une raison non ?

Oui: Directive européenne sur les Services de Paiement 2 (dite DSP2)


David


Le 11 mai 2023 à 11:34, MOREAU Benjamin via frnog  a écrit :

Effectivement, l'interception du SMS est toujours possible mais comme l'a 
soulevé Laurent; quel est le risque réel ?

Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application type 
"Authenticator".
J'ai l'impression que l'application est plus risquée en fait (si on n'utilise pas l'OTP 
mais la validation de connexion de l'appli)... Exemple avec un hackeur qui récupère les 
credentials d'un utilisateur et tente de se connecter... L'application POP une demande de 
validation qui est généralement confirmée par les utilisateurs peu attentifs à la sécu. 
L'utilisateur voit un pop sur son appli, il la valide en se disant "tiens j'ai du 
faire un truc."
Encore une fois...l'utilisateur est le premier niveau de risque dans 
l'histoire. PS : pour la validation sans savoir, c'est du vécu 

A mon avis, il y a moins de risques qu'il y ait une interception du SMS au 
moment de l'authentification (il faut matcher la carte SIM / le n° de tel et 
les identifiants...) que le risque de validation sans savoir sur l'appli.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.netsip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet MOREAU Benjamin via frnog

J'ai pensé pareil... le SMS coute cher mine de rien


De : Romain 
Envoyé : jeudi 11 mai 2023 11:47
À : David Ponzone 
Cc : MOREAU Benjamin ; Jerome Meyer (Nokia) 
; Richard Klein ; Laurent Barme 
<5...@barme.fr>; FRench Network Operators Group 
Objet : Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

L'économie sur les SMS ? ;)

Le jeu. 11 mai 2023 à 11:46, David Ponzone 
mailto:david.ponz...@gmail.com>> a écrit :
Pour que les banques aient été contraintes/aient choisi de passer du SMS à leur 
app mobile, il doit y avoir une raison non ?

David

> Le 11 mai 2023 à 11:34, MOREAU Benjamin via frnog 
> mailto:frnog@frnog.org>> a écrit :
>
> Effectivement, l'interception du SMS est toujours possible mais comme l'a 
> soulevé Laurent; quel est le risque réel ?
>
> Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application 
> type "Authenticator".
> J'ai l'impression que l'application est plus risquée en fait (si on n'utilise 
> pas l'OTP mais la validation de connexion de l'appli)... Exemple avec un 
> hackeur qui récupère les credentials d'un utilisateur et tente de se 
> connecter... L'application POP une demande de validation qui est généralement 
> confirmée par les utilisateurs peu attentifs à la sécu. L'utilisateur voit un 
> pop sur son appli, il la valide en se disant "tiens j'ai du faire un truc."
> Encore une fois...l'utilisateur est le premier niveau de risque dans 
> l'histoire. PS : pour la validation sans savoir, c'est du vécu 
>
> A mon avis, il y a moins de risques qu'il y ait une interception du SMS au 
> moment de l'authentification (il faut matcher la carte SIM / le n° de tel et 
> les identifiants...) que le risque de validation sans savoir sur l'appli.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Romain

L'économie sur les SMS ? ;)

Le jeu. 11 mai 2023 à 11:46, David Ponzone  a
écrit :

> Pour que les banques aient été contraintes/aient choisi de passer du SMS à
> leur app mobile, il doit y avoir une raison non ?
>
> David
>
> > Le 11 mai 2023 à 11:34, MOREAU Benjamin via frnog  a
> écrit :
> >
> > Effectivement, l'interception du SMS est toujours possible mais comme
> l'a soulevé Laurent; quel est le risque réel ?
> >
> > Je suis assez partagé en fait entre le 2FA via SMS et utiliser un
> application type "Authenticator".
> > J'ai l'impression que l'application est plus risquée en fait (si on
> n'utilise pas l'OTP mais la validation de connexion de l'appli)... Exemple
> avec un hackeur qui récupère les credentials d'un utilisateur et tente de
> se connecter... L'application POP une demande de validation qui est
> généralement confirmée par les utilisateurs peu attentifs à la sécu.
> L'utilisateur voit un pop sur son appli, il la valide en se disant "tiens
> j'ai du faire un truc."
> > Encore une fois...l'utilisateur est le premier niveau de risque dans
> l'histoire. PS : pour la validation sans savoir, c'est du vécu 
> >
> > A mon avis, il y a moins de risques qu'il y ait une interception du SMS
> au moment de l'authentification (il faut matcher la carte SIM / le n° de
> tel et les identifiants...) que le risque de validation sans savoir sur
> l'appli.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet David Ponzone

Pour que les banques aient été contraintes/aient choisi de passer du SMS à leur 
app mobile, il doit y avoir une raison non ?

David

> Le 11 mai 2023 à 11:34, MOREAU Benjamin via frnog  a écrit :
> 
> Effectivement, l'interception du SMS est toujours possible mais comme l'a 
> soulevé Laurent; quel est le risque réel ?
> 
> Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application 
> type "Authenticator".
> J'ai l'impression que l'application est plus risquée en fait (si on n'utilise 
> pas l'OTP mais la validation de connexion de l'appli)... Exemple avec un 
> hackeur qui récupère les credentials d'un utilisateur et tente de se 
> connecter... L'application POP une demande de validation qui est généralement 
> confirmée par les utilisateurs peu attentifs à la sécu. L'utilisateur voit un 
> pop sur son appli, il la valide en se disant "tiens j'ai du faire un truc."
> Encore une fois...l'utilisateur est le premier niveau de risque dans 
> l'histoire. PS : pour la validation sans savoir, c'est du vécu 
> 
> A mon avis, il y a moins de risques qu'il y ait une interception du SMS au 
> moment de l'authentification (il faut matcher la carte SIM / le n° de tel et 
> les identifiants...) que le risque de validation sans savoir sur l'appli.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet MOREAU Benjamin via frnog

Effectivement, l'interception du SMS est toujours possible mais comme l'a 
soulevé Laurent; quel est le risque réel ?

Je suis assez partagé en fait entre le 2FA via SMS et utiliser un application 
type "Authenticator".
J'ai l'impression que l'application est plus risquée en fait (si on n'utilise 
pas l'OTP mais la validation de connexion de l'appli)... Exemple avec un 
hackeur qui récupère les credentials d'un utilisateur et tente de se 
connecter... L'application POP une demande de validation qui est généralement 
confirmée par les utilisateurs peu attentifs à la sécu. L'utilisateur voit un 
pop sur son appli, il la valide en se disant "tiens j'ai du faire un truc."
Encore une fois...l'utilisateur est le premier niveau de risque dans 
l'histoire. PS : pour la validation sans savoir, c'est du vécu 

A mon avis, il y a moins de risques qu'il y ait une interception du SMS au 
moment de l'authentification (il faut matcher la carte SIM / le n° de tel et 
les identifiants...) que le risque de validation sans savoir sur l'appli.

Benjamin.


De : frnog-requ...@frnog.org  de la part de Jerome 
Meyer (Nokia) 
Envoyé : jeudi 11 mai 2023 08:40
À : Richard Klein ; Laurent Barme <5...@barme.fr>
Cc : FRench Network Operators Group 
Objet : [NewsLetter] Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Au-delà du SIM swapping et social engineering, il est aussi relativement 
trivial pour un attaquant d’exploiter les failles du protocole SS7 pour 
intercepter les SMS pour une dizaine d’euros. Donc effectivement, SMS 2FA est 
légèrement mieux que pas de 2FA du tout, mais c’est clairement à éviter (et les 
passkeys qui sont en cours de déploiement avec les fournisseurs d’OS majeurs 
devraient rendre cela un peu plus facile pour le grand public et plus résistant 
au phishing que les méthodes actuelles de TOTP etc.).

— Jérôme

From: frnog-requ...@frnog.org  on behalf of Richard 
Klein 
Date: Thursday, 11 May 2023 at 08:03
To: Laurent Barme <5...@barme.fr>
Cc: FRench Network Operators Group 
Subject: Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

CAUTION: This is an external email. Please be very careful when clicking links 
or opening attachments. See the URL nok.it/ext for additional information.



Bonjour Laurent,

Pour la première partie je ne vais pas te répondre mais voici un exemple de
social engineering qui permet de récupérer une sim pour faire des choses
pas propre:
Sim Swap
Pour les scénarios l'intelligence humaine est sans limite et lorsque il s
'agit de détourner par exemple des BTC il y a quelques exemples intéressant.
Donc pour moi le SMS avec code n'est pas secure .
Un principe de base est que tous ce qui passe sur internet sera publique un
jour.
Un mobile , l'antenne et le coeur ne sont pas directement sur le net mais
il y a beaucoup de maillons faible en périphérie.
L'humain est le premier et les Trojans sur les mobiles aussi etc.
Avec le sourire je peux presque affirmer que le courrier reste un moyen de
communication plus sécurisé que internet et ce n'est pas Mr Bismuth qui va
me contredire :-)
Lors de traitement d'incident je rencontre de plus en plus de clients avec
un Nokia 3310 et encore hier avec un Nokia C3
Je vous laisse deviner pourquoi...

Richard

Le mer. 10 mai 2023, 23:32, Laurent Barme <5...@barme.fr> a écrit :

> Bonjour,
>
> Le 10/05/2023 à 17:52, Richard Klein a écrit :
>
> …
> > était possible de lire les SMS en décodant le PDU.
>
> Est-ce encore possible ?
> > Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher.
> > Encore plus drôle les clefs KI des SIMs étaient disponible .
> >
> Est-ce toujours le cas ?
>
>
> Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est
> indéniable mais, en pratique (dans la vrai vie) ?
>
> J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une
> double
> authentification par SMS.
>
> J'imagine sans problème qu'il doit être relativement facile d'envoyer un
> SMS en
> falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse
> intercepter la réception d'un SMS et en décoder le contenu pour récupérer
> un
> code et l'exploiter.
>
> Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou
> relations hors du commun), capable d'écouter les ondes GSM et d'en
> extraire les
> trames destinées à un numéro de portable particulier, quel est le niveau
> de
> chiffrement pour décoder le SMS (combien de temps cela prendrait) et
> quoiqu'il
> en soit, comment le faire dans la zone proche du smartphone destinataire
> et
> comment faire le lien avec une double authentification en cours ?
>
> Comment empêcher le destinataire légitime de recevoir aussi le SMS (et
> imaginer
> qu'il ne s'inquiète pas de recevoir un SMS d'authentification non
> sollicité) ?
>
>

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Jerome Meyer (Nokia)

Au-delà du SIM swapping et social engineering, il est aussi relativement 
trivial pour un attaquant d’exploiter les failles du protocole SS7 pour 
intercepter les SMS pour une dizaine d’euros. Donc effectivement, SMS 2FA est 
légèrement mieux que pas de 2FA du tout, mais c’est clairement à éviter (et les 
passkeys qui sont en cours de déploiement avec les fournisseurs d’OS majeurs 
devraient rendre cela un peu plus facile pour le grand public et plus résistant 
au phishing que les méthodes actuelles de TOTP etc.).

— Jérôme

From: frnog-requ...@frnog.org  on behalf of Richard 
Klein 
Date: Thursday, 11 May 2023 at 08:03
To: Laurent Barme <5...@barme.fr>
Cc: FRench Network Operators Group 
Subject: Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

CAUTION: This is an external email. Please be very careful when clicking links 
or opening attachments. See the URL nok.it/ext for additional information.



Bonjour Laurent,

Pour la première partie je ne vais pas te répondre mais voici un exemple de
social engineering qui permet de récupérer une sim pour faire des choses
pas propre:
Sim Swap
Pour les scénarios l'intelligence humaine est sans limite et lorsque il s
'agit de détourner par exemple des BTC il y a quelques exemples intéressant.
Donc pour moi le SMS avec code n'est pas secure .
Un principe de base est que tous ce qui passe sur internet sera publique un
jour.
Un mobile , l'antenne et le coeur ne sont pas directement sur le net mais
il y a beaucoup de maillons faible en périphérie.
L'humain est le premier et les Trojans sur les mobiles aussi etc.
Avec le sourire je peux presque affirmer que le courrier reste un moyen de
communication plus sécurisé que internet et ce n'est pas Mr Bismuth qui va
me contredire :-)
Lors de traitement d'incident je rencontre de plus en plus de clients avec
un Nokia 3310 et encore hier avec un Nokia C3
Je vous laisse deviner pourquoi...

Richard

Le mer. 10 mai 2023, 23:32, Laurent Barme <5...@barme.fr> a écrit :

> Bonjour,
>
> Le 10/05/2023 à 17:52, Richard Klein a écrit :
>
> …
> > était possible de lire les SMS en décodant le PDU.
>
> Est-ce encore possible ?
> > Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher.
> > Encore plus drôle les clefs KI des SIMs étaient disponible .
> >
> Est-ce toujours le cas ?
>
>
> Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est
> indéniable mais, en pratique (dans la vrai vie) ?
>
> J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une
> double
> authentification par SMS.
>
> J'imagine sans problème qu'il doit être relativement facile d'envoyer un
> SMS en
> falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse
> intercepter la réception d'un SMS et en décoder le contenu pour récupérer
> un
> code et l'exploiter.
>
> Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou
> relations hors du commun), capable d'écouter les ondes GSM et d'en
> extraire les
> trames destinées à un numéro de portable particulier, quel est le niveau
> de
> chiffrement pour décoder le SMS (combien de temps cela prendrait) et
> quoiqu'il
> en soit, comment le faire dans la zone proche du smartphone destinataire
> et
> comment faire le lien avec une double authentification en cours ?
>
> Comment empêcher le destinataire légitime de recevoir aussi le SMS (et
> imaginer
> qu'il ne s'inquiète pas de recevoir un SMS d'authentification non
> sollicité) ?
>
> Et sinon, c'est quoi le contexte, concrètement, du scénario où l'on
> exploite un
> code de double authentification reçu par SMS ? Quelles sont les hypothèses
> préalables ?
>
> Laurent Barme
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-11 Par sujet Richard Klein

Bonjour Laurent,

Pour la première partie je ne vais pas te répondre mais voici un exemple de
social engineering qui permet de récupérer une sim pour faire des choses
pas propre:
Sim Swap
Pour les scénarios l'intelligence humaine est sans limite et lorsque il s
'agit de détourner par exemple des BTC il y a quelques exemples intéressant.
Donc pour moi le SMS avec code n'est pas secure .
Un principe de base est que tous ce qui passe sur internet sera publique un
jour.
Un mobile , l'antenne et le coeur ne sont pas directement sur le net mais
il y a beaucoup de maillons faible en périphérie.
L'humain est le premier et les Trojans sur les mobiles aussi etc.
Avec le sourire je peux presque affirmer que le courrier reste un moyen de
communication plus sécurisé que internet et ce n'est pas Mr Bismuth qui va
me contredire :-)
Lors de traitement d'incident je rencontre de plus en plus de clients avec
un Nokia 3310 et encore hier avec un Nokia C3
Je vous laisse deviner pourquoi...

Richard

Le mer. 10 mai 2023, 23:32, Laurent Barme <5...@barme.fr> a écrit :

> Bonjour,
>
> Le 10/05/2023 à 17:52, Richard Klein a écrit :
>
> …
> > était possible de lire les SMS en décodant le PDU.
>
> Est-ce encore possible ?
> > Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher.
> > Encore plus drôle les clefs KI des SIMs étaient disponible .
> >
> Est-ce toujours le cas ?
>
>
> Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est
> indéniable mais, en pratique (dans la vrai vie) ?
>
> J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une
> double
> authentification par SMS.
>
> J'imagine sans problème qu'il doit être relativement facile d'envoyer un
> SMS en
> falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse
> intercepter la réception d'un SMS et en décoder le contenu pour récupérer
> un
> code et l'exploiter.
>
> Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou
> relations hors du commun), capable d'écouter les ondes GSM et d'en
> extraire les
> trames destinées à un numéro de portable particulier, quel est le niveau
> de
> chiffrement pour décoder le SMS (combien de temps cela prendrait) et
> quoiqu'il
> en soit, comment le faire dans la zone proche du smartphone destinataire
> et
> comment faire le lien avec une double authentification en cours ?
>
> Comment empêcher le destinataire légitime de recevoir aussi le SMS (et
> imaginer
> qu'il ne s'inquiète pas de recevoir un SMS d'authentification non
> sollicité) ?
>
> Et sinon, c'est quoi le contexte, concrètement, du scénario où l'on
> exploite un
> code de double authentification reçu par SMS ? Quelles sont les hypothèses
> préalables ?
>
> Laurent Barme
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-10 Par sujet Laurent Barme


Bonjour,

Le 10/05/2023 à 17:52, Richard Klein a écrit :

…

était possible de lire les SMS en décodant le PDU.


Est-ce encore possible ?

Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher.
Encore plus drôle les clefs KI des SIMs étaient disponible .


Est-ce toujours le cas ?


Aucun système n'est parfaitement fiable. Il y a un risque théorique, c'est 
indéniable mais, en pratique (dans la vrai vie) ?


J'aimerais bien pouvoir apprécier le risque réel lié, actuellement, à une double 
authentification par SMS.


J'imagine sans problème qu'il doit être relativement facile d'envoyer un SMS en 
falsifiant le numéro de l'expéditeur mais beaucoup moins que l'on puisse 
intercepter la réception d'un SMS et en décoder le contenu pour récupérer un 
code et l'exploiter.


Même en admettant qu'il existe un matériel accessible (i.e. sans moyens ou 
relations hors du commun), capable d'écouter les ondes GSM et d'en extraire les 
trames destinées à un numéro de portable particulier, quel est le niveau de 
chiffrement pour décoder le SMS (combien de temps cela prendrait) et quoiqu'il 
en soit, comment le faire dans la zone proche du smartphone destinataire et 
comment faire le lien avec une double authentification en cours ?


Comment empêcher le destinataire légitime de recevoir aussi le SMS (et imaginer 
qu'il ne s'inquiète pas de recevoir un SMS d'authentification non sollicité) ?


Et sinon, c'est quoi le contexte, concrètement, du scénario où l'on exploite un 
code de double authentification reçu par SMS ? Quelles sont les hypothèses 
préalables ?


Laurent Barme



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-10 Par sujet Richard Klein

Bonjour,

J'ais connu il y a quelques années un des trois opérateurs mobile ou il
était possible de lire les SMS en décodant le PDU.
Sans compter a l'époque où il n'y avait que de la 2G et des IMSI catcher.
Encore plus drôle les clefs KI des SIMs étaient disponible .
Ou encore mieux les identifiants/password pour les portails wifi.
Donc l'authentification par SMS n'est qu'une marche supplémentaire à
franchir mais pas un obstacle

Richard



Le mer. 10 mai 2023, 17:38, MOREAU Benjamin via frnog  a
écrit :

> L'incident est terminé.
> Personnellement, je me pose la question de la pertinence de
> l'authentification forte par SMS... et surtout de la qualité de service du
> SMS. Je ne suis pas sûr qu'il y ait des SLA sur les SMS...du coup ce n'est
> peut-être pas hyper pertinent d'utiliser uniquement le SMS comme second
> facteur.
>
> Si vous avez des avis sur la question, je suis preneur 
>
> Benjamin.
>
> 
> De : frnog-requ...@frnog.org  de la part de
> MOREAU Benjamin via frnog 
> Envoyé : mercredi 10 mai 2023 15:48
> À : frnog-al...@frnog.org 
> Objet : [NewsLetter] [FRnOG] [ALERT] Incident SMS/MMS chez Orange
>
> Bonjour,
>
> Pour info, un incident national est en cours chez Orange depuis ce matin.
> Plus de réception de SMS / MMS depuis les numéros courts... c'est moche
> pour les systèmes d'authentification forte par SMS .
>
> Si certains disposent de plus d'info... je suis preneur . A priori c'est
> un problème sur un équipement d'interconnexion mais je n'y connais pas
> grand chose sur ce type d'infra.
>
> Benjamin.
>
> ---
> Liste de diffusion du FRnOG
>
> https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=05%7C01%7Cbenjamin.moreau%40imdeo.com%7C6e12842efc9b4abe8c8208db515d429c%7C3b213401e11b48dcbdc0946e05d3f768%7C0%7C0%7C638193233222336352%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C7000%7C%7C%7C=oLs4vql8ok0jRhIEbInZvSI%2BWTEXYYWdRAnNhJ9nxRA%3D=0
> <http://www.frnog.org/>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-10 Par sujet David Ponzone

Raison pour laquelle sur la plupart des services commerciaux proposent de 
choisir entre App Mobile/SMS/Email, non ? :)


> Le 10 mai 2023 à 17:38, MOREAU Benjamin via frnog  a écrit :
> 
> L'incident est terminé.
> Personnellement, je me pose la question de la pertinence de 
> l'authentification forte par SMS... et surtout de la qualité de service du 
> SMS. Je ne suis pas sûr qu'il y ait des SLA sur les SMS...du coup ce n'est 
> peut-être pas hyper pertinent d'utiliser uniquement le SMS comme second 
> facteur.
> 
> Si vous avez des avis sur la question, je suis preneur 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-10 Par sujet MOREAU Benjamin via frnog

L'incident est terminé.
Personnellement, je me pose la question de la pertinence de l'authentification 
forte par SMS... et surtout de la qualité de service du SMS. Je ne suis pas sûr 
qu'il y ait des SLA sur les SMS...du coup ce n'est peut-être pas hyper 
pertinent d'utiliser uniquement le SMS comme second facteur.

Si vous avez des avis sur la question, je suis preneur 

Benjamin.


De : frnog-requ...@frnog.org  de la part de MOREAU 
Benjamin via frnog 
Envoyé : mercredi 10 mai 2023 15:48
À : frnog-al...@frnog.org 
Objet : [NewsLetter] [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Bonjour,

Pour info, un incident national est en cours chez Orange depuis ce matin.
Plus de réception de SMS / MMS depuis les numéros courts... c'est moche pour 
les systèmes d'authentification forte par SMS .

Si certains disposent de plus d'info... je suis preneur . A priori c'est un 
problème sur un équipement d'interconnexion mais je n'y connais pas grand chose 
sur ce type d'infra.

Benjamin.

---
Liste de diffusion du FRnOG
https://eur01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=05%7C01%7Cbenjamin.moreau%40imdeo.com%7C6e12842efc9b4abe8c8208db515d429c%7C3b213401e11b48dcbdc0946e05d3f768%7C0%7C0%7C638193233222336352%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C7000%7C%7C%7C=oLs4vql8ok0jRhIEbInZvSI%2BWTEXYYWdRAnNhJ9nxRA%3D=0<http://www.frnog.org/>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Incident SMS/MMS chez Orange

2023-05-10 Par sujet MOREAU Benjamin via frnog

Bonjour,

Pour info, un incident national est en cours chez Orange depuis ce matin.
Plus de réception de SMS / MMS depuis les numéros courts... c'est moche pour 
les systèmes d'authentification forte par SMS .

Si certains disposent de plus d'info... je suis preneur . A priori c'est un 
problème sur un équipement d'interconnexion mais je n'y connais pas grand chose 
sur ce type d'infra.

Benjamin.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

Re: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

RE: [FRnOG] [ALERT] Incident SMS/MMS chez Orange

[FRnOG] [ALERT] Incident SMS/MMS chez Orange

16 matches

Site Navigation

Mail list logo

Footer information