Nouvelle technique de phishing : le détournement téléphonique
SecureWorks publie l'analyse d'une nouvelle technique de phising, technique relevant d'un esprit tortueux pour le moins.
Dans un premier temps, la victime reçoit un courrier électronique lui demandant d'appeler un numéro de téléphone précis, afin de se mettre en relation avec sa banque... faute de quoi, son compte pourrait-être suspendu. Le numéro à composer déclenche en fait la redirection de la ligne de la victime sur un terminal détenu par le cyberbraqueur.
A la suite de cette demande, le courriel incite à fournir les informations bancaires indispensables à la poursuite du braquage : identifiants divers, identité complète, numéro de carte de crédit... autant d'indications qui permettront au voleur de vider le compte en moins de temps qu'il faut pour expliquer ce montage alambiqué. On s'en doute, si le banquier, soupçonneux comme seuls les banquiers américains savent l'être, demande confirmation de l'opération à la victime, son appel téléphonique aboutira sur le combiné de l'escroc... et l'on comprend enfin le pourquoi de la manipulation téléphonique préliminaire. L'opération financière, même visiblement anormale, sera authentifiée par le numéro d'appel du client.
L'on est ici confronté, une fois de plus, à une attaque qui joue sur le mélange et l'amalgame fait entre différentes technologies : internet d'une part, le téléphone d'autre part. L'authentification « out band » (mot compliqué qu'affectionnent les spécialistes signifiant « j'appelle pour avoir confirmation »), autrement dit le changement de médium servant à l'échange d'information, nécessite également une connaissance intime des niveaux de sécurité propre au médium en question. Dans ce cas précis, la banque peut éviter de tomber dans le piège en utilisant un logiciel d'analyse spectrale du signal audio, accompagné d'une empreinte vocale laissée par le client. Et encore, même ce genre de contre-mesure peut être leurré par d'autres techniques de synthèse.
Il est fréquent qu'un « changement de techno » provoque une rupture coupant court à un type d'attaque, puisque chaque attaque se doit de reposer sur une « couche » technique précise. On se souvient des « segments netbios » qui isolaient un réseau IP d'un autre afin de couper court à toute possibilité de routage*, et donc d'intrusion. Mais la multiplication des médias apporte à son tour deux autres risques pervers :
D'une part elle multiplie le nombre de failles potentielles par le nombre de technologies associées. On appelle çà le « principe du bimoteur » édicté par les ingénieurs d'IBM dans les années 60, et qui se résume en ces mots : en multipliant le nombre de moteurs d'un avion, on multiplie également le nombre de pièces en jeu, donc la fréquence des pannes potentielles et l'on accroit ainsi les chances d'aller au tapis. C'est là un axiome que tout bon technologue n'oublie jamais.
D'autre part, elle exige des personnes qui mettent ces technologies en oeuvre, une connaissance intime des techniques qui sont parfois difficiles à maitriser. Comme en général les corps de métier refusent de dialoguer et d'échanger des informations trop spécifiques -soit par manque de références sémantiques, soit par désir de conserver une parcelle de pouvoir- il se crée un troisième niveau d'insécurité -appelons çà « vulnérabilités interstitielles » ou « instabilités d'interface »- qui faciliteront le travail des hackers. Le « joint » entre deux technologies est toujours plus fragile que la technologie elle-même, c'est là la malédiction de tous les traducteurs de protocole.
*NdlC : Note de la Correctrice : Le fait est partiellement exact, puisqu'il est envisageable d'assurer un « token routing » sous Netbios. Mais il faut admettre qu'au prix du switch gigabit Ethernet, le nombre de MAU d'origine IBM ou Madge doit être une denrée rare sur les réseaux locaux français actuels.