Nouvelle technique de phishing : le détournement téléphonique

le 27/04/2007, par Marc Olanié, Actualités, 578 mots

SecureWorks publie l'analyse d'une nouvelle technique de phising, technique relevant d'un esprit tortueux pour le moins. Dans un premier temps, la victime reçoit un courrier électronique lui demandant d'appeler un numéro de téléphone précis, afin de se mettre en relation avec sa banque... faute de quoi, son compte pourrait-être suspendu. Le numéro à composer déclenche en fait la redirection de la ligne de la victime sur un terminal détenu par le cyberbraqueur. A la suite de cette demande, le courriel incite à fournir les informations bancaires indispensables à la poursuite du braquage : identifiants divers, identité complète, numéro de carte de crédit... autant d'indications qui permettront au voleur de vider le compte en moins de temps qu'il faut pour expliquer ce montage alambiqué. On s'en doute, si le banquier, soupçonneux comme seuls les banquiers américains savent l'être, demande confirmation de l'opération à la victime, son appel téléphonique aboutira sur le combiné de l'escroc... et l'on comprend enfin le pourquoi de la manipulation téléphonique préliminaire. L'opération financière, même visiblement anormale, sera authentifiée par le numéro d'appel du client. L'on est ici confronté, une fois de plus, à une attaque qui joue sur le mélange et l'amalgame fait entre différentes technologies : internet d'une part, le téléphone d'autre part. L'authentification « out band » (mot compliqué qu'affectionnent les spécialistes signifiant « j'appelle pour avoir confirmation »), autrement dit le changement de médium servant à l'échange d'information, nécessite également une connaissance intime des niveaux de sécurité propre au médium en question. Dans ce cas précis, la banque peut éviter de tomber dans le piège en utilisant un logiciel d'analyse spectrale du signal audio, accompagné d'une empreinte vocale laissée par le client. Et encore, même ce genre de contre-mesure peut être leurré par d'autres techniques de synthèse. Il est fréquent qu'un « changement de techno » provoque une rupture coupant court à un type d'attaque, puisque chaque attaque se doit de reposer sur une « couche » technique précise. On se souvient des « segments netbios » qui isolaient un réseau IP d'un autre afin de couper court à toute possibilité de routage*, et donc d'intrusion. Mais la multiplication des médias apporte à son tour deux autres risques pervers : D'une part elle multiplie le nombre de failles potentielles par le nombre de technologies associées. On appelle çà le « principe du bimoteur » édicté par les ingénieurs d'IBM dans les années 60, et qui se résume en ces mots : en multipliant le nombre de moteurs d'un avion, on multiplie également le nombre de pièces en jeu, donc la fréquence des pannes potentielles et l'on accroit ainsi les chances d'aller au tapis. C'est là un axiome que tout bon technologue n'oublie jamais. D'autre part, elle exige des personnes qui mettent ces technologies en oeuvre, une connaissance intime des techniques qui sont parfois difficiles à maitriser. Comme en général les corps de métier refusent de dialoguer et d'échanger des informations trop spécifiques -soit par manque de références sémantiques, soit par désir de conserver une parcelle de pouvoir- il se crée un troisième niveau d'insécurité -appelons çà « vulnérabilités interstitielles » ou « instabilités d'interface »- qui faciliteront le travail des hackers. Le « joint » entre deux technologies est toujours plus fragile que la technologie elle-même, c'est là la malédiction de tous les traducteurs de protocole.

*NdlC : Note de la Correctrice : Le fait est partiellement exact, puisqu'il est envisageable d'assurer un « token routing » sous Netbios. Mais il faut admettre qu'au prix du switch gigabit Ethernet, le nombre de MAU d'origine IBM ou Madge doit être une denrée rare sur les réseaux locaux français actuels.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...