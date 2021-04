Les étoiles se sont parfaitement alignées la semaine dernière pour qu’un nombre important de violations de données et de vulnérabilités de sécurité soient révélées. Le piratage massif de Facebook d’août 2019 revient hanter plus de 533 millions d’utilisateurs dont les données personnelles se sont retrouvées entre les mains de pirates. Même le compte de Mark Zuckerberg a été inclus sur la liste, mais Facebook n’informera pas les utilisateurs qui auraient pu être touchés. Un piratage similaire impliquant des données personnelles grattées pour 500 millions de comptes LinkedIn a également été divulgué, et l’énorme base de données d’informations a été mise en vente en ligne plus tôt cette semaine. Ensuite, nous avons vu une autre fuite de données qui permettait aux gens d’obtenir les numéros de téléphone des utilisateurs de Facebook qui aimaient une page sur le réseau social. Ensuite, un grand nombre d’enregistrements de cartes de crédit et de numéros de sécurité sociale ont été piratés sur une plate-forme qui vend ce type d’informations volées – c’est-à-dire que des données avaient été volées avant cet exploit de sécurité, mais maintenant elles sont rendues disponibles plus largement. Enfin, nous avons également vu à nouveau des applications Android propageant des logiciels malveillants dans la nature, et Facebook a autorisé les publicités pour une application malveillante sur sa plate-forme.

Pour couronner le tout, il y a une autre vulnérabilité dont des millions de personnes doivent être conscientes. Un petit opérateur de téléphonie mobile n’a pas réussi à protéger les données personnelles de ses clients, de sorte que tout le monde a pu accéder aux informations de compte en saisissant simplement un numéro de téléphone dans une application mobile.

L’opérateur en question est Q Link Wireless, un opérateur de réseau virtuel mobile (MVNO) avec environ 2 millions de clients américains. Un utilisateur de Reddit a découvert la faille de sécurité pour la première fois il y a quelques mois, tentant d’avertir le transporteur à plusieurs reprises via le support client et les examens d’applications qui mettaient en évidence le bogue. Ars Technica a donné suite à ce message et ses enquêtes auraient pu convaincre Q Link Wireless de résoudre enfin le problème de sécurité.

Le «piratage» permettait à quiconque d’installer mon compte mobile de l’opérateur, puis de saisir le numéro de téléphone de n’importe quel client pour accéder aux données associées à ce compte. Aucun mot de passe n’était nécessaire et les informations étaient accessibles à toute personne consciente du problème de sécurité.

L’application mobile offre des tonnes d’informations sur les utilisateurs. Les exemples incluent le prénom et le nom d’un utilisateur, l’adresse du domicile, l’historique des appels téléphoniques (sortants / entrants), l’historique des messages texte (sortants / entrants), le numéro de compte, l’adresse e-mail et les quatre derniers chiffres de la carte de paiement associée.

L’application ne peut pas être utilisée pour apporter des modifications au compte de quelqu’un ou endommager le numéro de téléphone via un échange de carte SIM ou le verrouillage de quelqu’un. Mais Ars dit qu’un éventuel échangeur de carte SIM pourrait essayer d’utiliser les données pour inciter un employé de Q Link Wireless à l’aider. Un type d’attaque plus simple consiste à espionner les victimes. Les personnes conscientes de la vulnérabilité auraient pu utiliser la faille de sécurité pour suivre les appels et les SMS de quelqu’un. Des conjoints violents, des harceleurs et d’autres personnes aux intentions malveillantes qui pourraient cibler une victime en particulier auraient pu le faire facilement.

Après avoir ignoré le problème pendant des mois, Q Link Wireless semble l’avoir résolu, de sorte que les données ne sont plus disponibles pour quiconque connaît un numéro de téléphone. On ne sait pas si la vulnérabilité a été abusée, la société de sécurité Intel471 indiquant à Ars qu’elle n’a pas trouvé de discussions sur cette faille de sécurité particulière sur les forums fréquemment utilisés par les pirates et les criminels. Mais le rapport souligne qu’il n’y a aucun moyen de savoir si la fuite a été abusée à plus petite échelle.

Le rapport complet d’Ars Technica est disponible sur ce lien.

