Signal et Twilio : Comment éviter un piratage grâce à la vérification par SMS en deux étapes

Bien que Signal confirme que l'historique des messages, les informations de profil et les coordonnées sont sécurisées, le piratage n'est qu'un autre exemple de la raison pour laquelle la vérification par SMS n'est pas une bonne idée.

Contexte du hack Twilio et Signal

Les attaquants, vérifiés par la plate-forme de messagerie elle-même, auraient obtenu les numéros de téléphone et les codes qui leur sont associés, de près de 2 000 de ses utilisateurs. Signal dit "un très petit pourcentage", mais cela a un inconvénient très important, car il permet d'accéder aux comptes d'autres utilisateurs.

"Pour quelque 1 900 utilisateurs, un attaquant aurait pu essayer de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré auprès de Signal", indique le communiqué de Signal.

L'accès au compte Signal pourrait permettre aux pirates d'envoyer et de recevoir des messages. Ils n'ont pas accès, oui, aux discussions précédentes. Aucune information de profil ou adresses de contact. Tout cela est protégé par un code PIN qui doit être saisi manuellement par le titulaire du compte et n'est pas détenu par Twilio.

Une attaque de signal prouve que la vérification par SMS est dangereuse

Il est également utilisé comme protection supplémentaire sur les plates-formes prenant en charge la vérification en deux étapes. Dans ces cas, l'utilisateur, en plus de définir son nom d'utilisateur et son mot de passe, doit saisir un code PIN unique envoyé par SMS, qui expire également après utilisation.

Cependant, l'envoi de ces codes par SMS n'est pas le moyen le plus idéal, car il est relativement facile d'accès. Surtout s'il s'agit de la méthode de vérification principale (c'est-à-dire non utilisée comme méthode secondaire dans un système de vérification en deux étapes).

Dans le cas de Signal, les attaquants ont pu voler des numéros de téléphone et leurs codes associés grâce à une attaque de phishing contre la société qui fournit le service de livraison de code pour la plate-forme de messagerie.

Mais accéder aux plateformes internes en volant les informations d'identification des employés n'est pas le seul moyen de voler les codes de vérification.

Comment identifier ces escroqueries par SMS et que faire

Ils enregistrent ensuite un compte sur un nouvel appareil. Après avoir envoyé le code de vérification par SMS, ils demandent à recevoir cette clé avec un appel.

Cependant, récemment, WhatsApp et Signal, ainsi que de nombreuses autres plates-formes qui continuent d'envoyer des codes par SMS, permettent également des mesures d'accès supplémentaires.

Parmi eux, code personnel. Ainsi, en plus de saisir le code reçu par SMS, ils doivent également saisir le code d'accès pour pouvoir terminer l'inscription et utiliser l'application.

CONTINUER À LIRE