Des chercheurs en sécurité montrent que l’on peut usurper l’identité de n’importe quel utilisateur, à condition d’avoir accès au réseau de signalisation cellulaire SS7. Ce qui est moins compliqué qu’on ne croit.
Il y a quelques semaines, WhatsApp a déployé sur l’ensemble de ses utilisateurs le chiffrement de bout en bout par défaut. Le but: proposer une bien meilleure sécurité, à l’épreuve de toute surveillance. Mais la réalité n’est pas aussi simple, comme viennent de le montrer les chercheurs en sécurité de Positive Technologies. Dans une note de blog, ils montrent qu’il est possible, en dépit du chiffrement de bout en bout, d’usurper l’identité de n’importe quel utilisateur.
Leur attaque utilise des vulnérabilités du réseau de signalisation SS7. Ce protocole est utilisé par les opérateurs pour établir et gérer les communications cellulaires. Il est régulièrement épinglé par les chercheurs en sécurité pour sa mauvaise protection. En décembre 2014, le chercheur Karsten Nohl a notamment montré des failles permettant d’intercepter n’importe quel appel ou SMS.
Ejection puis interception
Comment fonctionne l’attaque de Positive Technologies? Les chercheurs utilisent SS7 pour éjecter le terminal du véritable utilisateur du registre d’abonnés et le remplacer par leur propre terminal, tout en utilisant son numéro de téléphone. Dès lors, la victime ne pourra plus passer de coup de fil ou recevoir de SMS. Si son terminal est connecté en Wifi, elle pourra toujours avoir l’impression d’être bien connectée à WhatsApp, mais en réalité elle ne pourra plus recevoir de messages.
Lorsque les chercheurs installent WhatsApp, l’appli mobile va envoyer un numéro de confirmation par un SMS, qu’ils pourront évidemment intercepter. A partir de ce moment, l’usurpation d’identité est complète. Dans ce cas, l’attaquant pourra envoyer des messages aux interlocuteurs en se faisant passer pour quelqu’un d’autre. « En revanche, il n’aura pas accès aux messages passés, car WhatsApp ne les stocke pas dans ses serveurs », nous précise Alex Mathews, directeur technique EMEA chez Positive Technologies.
Avec l’application Telegram, en revanche, les messages classiques sont stockés sur le serveur. L’usurpation donne, du coup, accès aux toutes les conversations passées. Ce n’est pas le cas, en revanche, des messages chiffrés de bout en bout (« Secret chats ») qui restent inaccessibles.
Comment se protéger contre ces attaques par usurpation ? Sur WhatsApp, il est possible d’activer les « notifications de sécurité » qui permettent d’être alerté lorsque le code de sécurité d’un interlocuteur change. Ce qui est le cas par exemple lorsque celui change de téléphone ou… en cas d’usurpation. Pour activer cette fonctionnalité, il faut aller dans « Réglages -> Compte -> Sécurité ».
Une autre possibilité de protection serait de ne pas utiliser le SMS comme facteur d’authentification, mais par exemple Google Authenticator, qui ne dépend pas du réseau télécoms sous-jacent. « Compte tenu des failles dans SS7, il faut éviter de s’appuyer sur le réseau cellulaire pour identifier les utilisateurs », martèle Alex Mathews. C’est aux éditeurs de faire en sorte que cela ne soit plus le cas.
Signalons, enfin, que cette attaque n’est pas à la portée du premier venu. En théorie, seuls les opérateurs télécoms et leurs partenaires ont accès au réseau de signalisation SS7. « Mais dans certains pays, les accès ne sont pas très règlementé. Il est donc possible pour un tiers d’y accéder, moyennant une certaine somme d’argent », précise Alex Mathews. Il est probable que les agences de renseignement disposent d’un tel accès.
avec 01net