Le SMS (Short Message Service) est l’une des pires normes de télécommunication. En effet, les messages que vous envoyez par SMS ne sont pas encryptés. Du genre, pas du tout, même pas un peu. Les SMS sont littéralement du texte en clair. Votre fournisseur de téléphonie mobile (ou une tour d’interception IMSI) peut donc voir tout le contenu des messages que vous envoyez et recevez. Ces messages peuvent ensuite être stockés sur les serveurs de votre fournisseur de téléphonie mobile (FTM).
Les SMS ne Sont Pas du Tout Confidentiels
En fonction des juridictions, les SMS ne sont conservés que pendant plusieurs jours (parfois plusieurs semaines ou plusieurs mois) par les FTM. En revanche, votre FTM stockera systématiquement les métadonnées (quel numéro a envoyé un message à quel numéro et à quelle heure) sur une durée plus longue. Ces données peuvent également servir dans le cadre d’enquêtes judiciaires, les enregistrements de messages texte étant une forme courante de preuve dans les affaires judiciaires.
De plus, les FTM n’hésitent pas à vendre les données personnelles de leurs clients (voir l’affaire AT&T, Sprint et T-Mobile en 2019). Il n’y a donc pas lieu de leur faire confiance a priori.
Les SMS ne Sont Pas du Tout Sécurisés
À cela s’ajoute le problème du protocole SS7 (Signal System n°7), le standard mondial de la téléphonie mobile. C’est grâce à ce protocole que votre smartphone se connecte au réseau cellulaire et peut passer des appels ou recevoir des SMS, même si vous êtes en voyage en Afghanistan.
Le système SS7 l’a été attaqué à plusieurs reprises par des pirates informatiques qui ont été en mesure d’espionner des messages SMS ou de les intercepter. De cette manière, les attaquants peuvent espionner les codes de vérification qui sont généralement envoyés par SMS aux utilisateurs d’applications bancaires. Si le pirate a déjà votre mot de passe en sa possession, il peut se servir du SMS de vérification pour accéder à vos comptes bancaires et les vider.
Malgré cela, un bon nombre de banques en ligne continuent d’imposer le système de vérification par SMS à leurs clients, que ce soit pour accéder à votre compte ou pour faire une opération (virement, achat en ligne), ce qui est un vrai scandale. Mais les banques et autres processeurs de paiement partent du principe que la plupart des gens disposent d’un moyen de recevoir des SMS, même s’ils n’ont pas de smartphone. Il s’agit donc d’une solution de facilité pour eux, mais cette méthode est extrêmement peu sécurisée.
Si vous en avez la possibilité, il faut donc rejeter le système de vérification par SMS et opter pour l’authentification 2FA TOTP (authentification à 2 facteurs par génération de code) au moyen d’une application open-source comme Aegis.
Par principe, évitez Google Authenticator. Évitez également Authy à tout prix.
Le Régime Peut Facilement Surveiller Vos SMS
Les gouvernements du monde entier ont accès à des Stingrays, des dispositifs capables d’usurper l’identité d’une tour cellulaire. Lorsque ces dispositifs sont placés à proximité de votre emplacement physique, ils incitent votre téléphone à se connecter à eux (comme si votre téléphone se connectait à une tour cellulaire normale). Le dispositif peut ensuite suivre vos mouvements et intercepter vos messages SMS, tout comme peut le faire votre opérateur cellulaire. Pour vous prémunir de ces dispositifs, dans la mesure du possible, pour les plus paranos d’entre vous, vous pouvez utiliser l’application SnoopSnitch.
Au-delà de la surveillance locale et ciblée, les messages SMS peuvent également être balayés et traités dans des systèmes de surveillance plus vastes. Selon des documents publiés par Edward Snowden en 2014, la NSA collectait à l’époque plus de 200 millions de SMS par jour dans le monde entier. Il va sans dire que d’autres agences nationales en font de même.
Autres Menaces Relatives aux SMS : Usurpation de SIM et Ingénierie Sociale
Au-delà des SMS, les numéros de téléphone sont très peu sécurisés au niveau des opérateurs. Un escroc peut appeler votre transporteur cellulaire ou entrer dans un magasin et se faire passer pour vous.
Si l’escroc a suffisamment de détails sur vous et trompe le service client de votre opérateur, il peut potentiellement prendre le contrôle de votre numéro de téléphone. Il peut alors demander au FTM de transférer votre numéro de téléphone vers un autre opérateur cellulaire.
C’est ce qu’on appelle une attaque par usurpation de SIM, un « SIM Hijacking », « SIM Swapping » ou encore un « Port Out Scam ».
À partir de là, l’attaquant aurait votre numéro de téléphone sous son contrôle. Avec cela, il peut potentiellement accéder à des comptes protégés par une authentification à deux facteurs basée sur SMS, système très peu sécurisé comme nous l’avons dit.
Pour le petit escroc de base, usurper votre SIM en dupant le service client de votre opérateur mobile est plus facile que de pirater le réseau SS7.
Vous pouvez généralement protéger votre numéro de téléphone en ajoutant des codes PIN supplémentaires ou activer des fonctions de sécurité optionnelles auprès de votre fournisseur de téléphonie mobile. Voyez auprès de votre fournisseur de téléphonie mobile pour savoir quelles fonctionnalités de sécurité sont disponibles.
Ne négligez pas cette menace : de nombreuses personnalités à haut profil ont déjà été victimes de ce genre d’escroquerie.
Début 2021, un groupe international de hackers spécialisés dans le SIM a été arrété en Europe. Selon les autorités, ce groupe serait parvenu à dérober un total de plus de 100 millions de dollars en piratant des comptes bancaires ou des comptes cryptos. Cela dit, ces groupes ciblent généralement des célébrités, des influenceurs ou des personnalités à haut profil.
Par exemple, en 2015, l’investisseur Michael Terpin s’était fait dérober l’équivalent de 24 millions de dollars de cryptos par un Sim-Swapper âgé de 15 ans. En 2019, c’est Jack Dorsey, le CEO de Twitter, qui fut victime d’un Sim-Swap, ce qui permit au hacker de poster plusieurs tweets hilarants sur son compte. De façon ironique, en 2021, Twitter impose encore la vérification 2FA par SMS…
Cessez d’utiliser les SMS et Utilisez des Applications de Messagerie Cryptées
Pour toutes ces raisons, vous avez donc tout interêt à limiter vos communications par SMS. Utilisez plutôt des applications cryptées et très sécurisées comme Element/Matrix, notre petit chouchou.
Nous vous conseillons également l’application Session ou l’application Briar.
Bien sûr, vous pouvez également utiliser Telegram ou Signal, qui sont de bons compromis. Cela dit, nous restons mesurés par rapport à ces applications qui, tout en étant cryptées, imposent tout de même de fournir un numéro de téléphone mobile pour s’y inscrire, ce qui nous semble tout à fait inutile. Favorisez donc plutôt Element/Matrix, qui ne nécessitent qu’une adresse e-mail.
One Comment
Comments are closed.