Les banques risquent de ne pas trop apprécier la faille qui vient d’être exploitée sur les protocoles de signalisation téléphoniques appelés SS7, qui sont utilisés par la majorité des réseaux mondiaux. Des hackers sont capables de vider des comptes bancaires malgré les sécurités mises en place par les banques, tels que les doubles vérifications par SMS ou par mail.
Une faille sur le SS7 permet aux pirates de vider des comptes bancaires
Avant de commencer, il faut savoir que le protocole du SS7 date de 1980 et que celui-ci n’a pas su évoluer au rythme des améliorations des réseaux téléphoniques au niveau mondial. Le résultat est aujourd’hui visible, il s’agit d’une vulnérabilité qui avait été dénoncée depuis 2014, mais que ni les banques, ni les opérateurs pourtant principaux intéressés, n’ont pris au sérieux.
Ce manque de sérieux se paie aujourd’hui, puisqu’un premier opérateur vient d’en faire les frais, enfin surtout ses clients. Des hackers sont parvenus à vider les comptes bancaires de clients de l’opérateur allemand O2 Telefonica d’une manière relativement simple, en contournant les meilleures protections bancaires, ce qui devrait intéresser tous les hackers de la planète.
Pour vider les comptes bancaires, les pirates doivent procéder en deux étapes. La première est d’installer un malware sur des PC, afin d’espionner l’utilisateur quand il utilise sa messagerie et ses comptes bancaires. Le logiciel espion collecte les adresses mail, les identifiants bancaires, les mots de passe, le solde du compte, le numéro de téléphone recevant les SMS de confirmation des transferts, etc. Autant d’informations qui serviront pour la seconde étape.
Un accès aux réseaux mondiaux via le SS7
La seconde étape est plus complexe, mais pas insurmontable pour des hackers. Ces derniers doivent pouvoir accéder directement au SS7 du réseau mondial, soit en payant un opérateur peu scrupuleux, soit en disposant d’un employé malveillant en interne, soit en créant un opérateur virtuel pour quelques milliers de dollars dans un pays quelconque. Il ne leur reste plus qu’à installer un système de redirection de numéro de téléphone.
De cette manière, la nuit venue, les pirates peuvent se connecter à vos comptes bancaires effectuer un virement, recevoir le SMS et le mail de vérification, les valider, les effacer pour ne laisser aucune trace et quelques heures plus tard de retirer l’argent à l’autre bout du monde. Le temps que vous compreniez ce qu’il se sera passé, il sera trop tard…
Une faille inquiétante vous en conviendrez, car il remet en question toute la chaine de sécurité liée au paiement et au transfert d’argent. Cette faille sur SS7 permet également de géolocaliser un téléphone et d’écouter les conversations téléphoniques. L’opérateur allemand a désormais pris des mesures, mais le problème étant mondial, il ne fait aucun doute que l’on devrait voir se multiplier ce type d’attaque.
Je ne comprends pas pourquoi un pirate qui dispose déjà de toutes ces informations aurait besoin d’utiliser le SS7