SMS

SMS

Attaque Salt Typhoon : Failles des SMS révélées

Salt Typhoon a révélé une vérité troublante : les SMS ne peuvent plus être considérés comme confidentiels. Une grande partie du trafic SMS mondial est interceptée, ce qui rend vulnérables toutes les applications qui reposent sur des codes reçus par SMS.

Les applications de messagerie qui utilisent un numéro de téléphone comme identifiant sont particulièrement affectées. Les pirates peuvent intercepter vos messages, en envoyer en votre nom et même accéder à votre historique de conversations.

Cette attaque montre l’importance d’utiliser des applications comme Olvid, Threema ou d'autres, qui ne reposent pas sur des identifiants faibles comme les numéros de téléphone pour assurer la sécurité.

Le 25 octobre, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une déclaration conjointe avec le FBI. Ils ont indiqué que plusieurs réseaux de télécommunication civils avaient été compromis. La menace, appelée Salt Typhoon, est probablement affiliée au Ministère de la Sécurité de l'État chinois.

Les données compromises incluent les SMS, accessibles en clair sur les réseaux des opérateurs. Deux officiels du FBI, dans une interview à NBC News, recommandent l’utilisation de messageries instantanées chiffrées plutôt que les SMS, dont la confidentialité est maintenant compromise.

Le SMS : Un Moyen de Communication Vulnérable

Les SMS utilisent une technologie des années 90 qui ne garantit pas la confidentialité. Les attaques de sim swappingpermettaient déjà à des pirates d’usurper votre numéro pour recevoir vos SMS. Maintenant, ces messages peuvent être interceptés en clair par des pirates sur les réseaux de certains fournisseurs d’accès majeurs.

Le contenu d’un SMS ne doit plus jamais être considéré comme confidentiel. Il faut partir du principe que « tout le monde » y a accès. Même si ce n’est pas le cas en pratique, cette approche évite de graves déconvenues.

L’Impact Potentiel de l’Attaque Salt Typhoon

L’attaque Salt Typhoon a des implications plus vastes qu’il n’y paraît : vos SMS peuvent être interceptés. Les pirates peuvent prendre le contrôle de tous vos comptes utilisant ce type d’authentification. Il est crucial d’opter pour des solutions de messagerie sécurisées et de se méfier des méthodes d’authentification utilisant les SMS.

Comment se Protéger ?

Est-il suffisant de suivre les recommandations du FBI et d'utiliser des messageries chiffrées de bout en bout ? Pas forcément.

Nous l’avons souligné lors du piratage des comptes Telegram de plusieurs députés : choisir une messagerie dont l’identifiant est un numéro de téléphone est une erreur de sécurité. Pourquoi ? Il faut prouver que vous détenez ce numéro, souvent via un code reçu par SMS. Quiconque accède à ce SMS peut se faire passer pour vous. Ce code doit rester confidentiel pour garantir la sécurité, mais comme nous l’avons vu, rien de ce qui est envoyé par SMS ne peut être considéré comme tel.

En résumé : le contenu d’un SMS n’est pas confidentiel. Une messagerie reposant sur la confidentialité d’un code SMS n’est pas sécurisée.

by International ICS

Pièges : Qu'est-ce qu'un bug GSM ?

Les pièges GSM peuvent être dissimulés dans des produits de consommation courants, des appareils électroménagers, des accessoires électroniques, des lampes, des cables, des multiprises, des chargeurs, de préférence des articles ayant accès à une alimentation illimitée, mais peuvent également être alimentés par une batterie.

GSM signifie (Global System for Mobile communication) un réseau cellulaire numérique standard utilisé en Europe et dans une grande partie du monde. Les téléphones GSM utilisent des cartes SIM amovibles (Subscriber Identity Module) contenant les configurations d'accès au réseau. Un bug / piège GSM est un dispositif d'écoute sans fil équipé d'une carte SIM utilisant le réseau GSM, accessible et contrôlable de n'importe où par un appel téléphonique.

La plupart des pièges / bug GSM ont des paramètres qui peuvent être modifiés à distance en envoyant un simple SMS : activation vocale, niveau de sensibilité du microphone, fonction anti-détection, etc. Ils peuvent souvent être configurés pour appeler ou envoyer un SMS à l'espion lorsqu'une voix ou un mouvement est détecté, ou stocker les enregistrements directement sur une carte mémoire pour un téléchargement ultérieur.

Raisons pour lesquelles ils sont communs :

  • Conception simple, conçue pour être dissimulée. Ce sont généralement de très petits appareils avec microphone, émetteur-récepteur GSM et batterie (s'ils ne sont pas alimentés par le boîtier). Allumez-le et un numéro est attribué au piège et au réseau activé. Il est activé en appelant le numéro de téléphone attribué.
  • Portée du microphone, beaucoup peuvent entendre jusqu'à 10-15 mètres.
  • Portée d'écoute, illimitée, car utilisant le réseau mobile, vous pouvez être à l'autre bout de la planète, si vous avez un forfait adapté, vous écouterez le dispositif via votre téléphone.
  • Peu coûteux et facile à acquérir, facilement acheté sur Internet avec une grande variété de déguisements pour moins de 40 € .

Nous pouvons détecter ce genre de dispositif.

by Thomas d. C

Privacy Preference Center

Privacy Preferences