Salt Typhoon, la menace qui s’intéresse aussi à ceux qui n’ont rien à cacher

12 décembre 2024

---

Résumé

L’attaque Salt Typhoon démontre que le contenu d’un SMS ne peut pas être considéré comme confidentiel puisqu’une part importante du trafic SMS mondial est écoutée. Toute application dont la sécurité repose exclusivement sur la confidentialité d’un code reçu par SMS s’expose donc à des attaques. C’est en particulier le cas des applications de messagerie utilisant un numéro de téléphone comme identifiant. En fonction de l’application, les pirates peuvent recevoir vos messages, en envoyer en votre nom et, parfois, accéder à l’historique de vos conversations.

Cette attaque prouve l’importance de choisir des applications qui, comme Olvid, ne reposent pas sur un identifiant faible (comme un numéro de téléphone) pour garantir votre sécurité.

L’affaire en bref

Le 25 octobre dernier, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) des États-Unis a publié une déclaration jointe avec le FBI^[1] indiquant une compromission de plusieurs réseaux de télécommunication civils. Le coupable désigné répond au nom de Salt Typhoon, une menace persistante avancée (ou APT, pour Advanced Persistent Threat en anglais), probablement affiliée au Ministère de la Sécurité de l'État chinois^[2].

Les données compromises incluent notamment les SMS^[3], dont le contenu est accessible en clair sur le réseau des opérateurs. Dans un appel accordé à NBC News, deux officiels du FBI recommandent l’utilisation de messageries instantanées chiffrées^[4] en lieu et place des SMS, dont la confidentialité est mise à mal.

Le SMS : l’un des moyens de communication les moins confidentiels du monde

Les SMS reposent sur une technologie datant du début des années 90 qui n’a pas été conçue pour garantir la moindre confidentialité. On connaissait les attaques de « sim swapping » qui permettent à un pirate d’usurper votre numéro de téléphone afin de recevoir vos SMS à votre place. On sait maintenant que ces SMS sont probablement accessibles massivement, et en clair, à des pirates qui se servent directement sur les réseaux de certains fournisseurs d’accès majeurs.

Il faut se rendre à l’évidence : le contenu d’un SMS ne doit plus jamais être considéré comme confidentiel. Autrement dit, il faut partir du principe que « tout le monde » y a accès. Même si ce n’est pas le cas en pratique, cette approche permet d’éviter de graves déconvenues.

Comment se protéger ?

Suffit-il de suivre les recommandations du FBI et d'utiliser des messageries garantissant du chiffrement de bout en bout ? Ce n’est peut-être pas aussi simple que ça.

Comme nous le signalions à l’occasion du piratage des comptes Telegram de plusieurs députés^[5], choisir une messagerie dont l’identifiant est un numéro de téléphone est un mauvais choix en termes de sécurité. Pourquoi ? Tout simplement parce que la solution aura besoin de la preuve que vous êtes bien détenteur de ce numéro de téléphone. Vous l’avez deviné : la seule solution pour obtenir cette preuve est la réception d’un code par SMS, qu’il vous suffit ensuite de saisir dans l’application de messagerie pour « prouver » que vous êtes le détenteur du numéro de téléphone. Quiconque ayant accès à ce SMS peut faire très exactement la même manipulation et donc se faire passer pour vous. Ce code envoyé par SMS doit donc rester confidentiel pour que la sécurité soit garantie. Et comme nous l’avons vu plus haut, rien de ce qui est envoyé par SMS ne peut être considéré comme confidentiel.

Pour résumer : puisque le contenu d’un SMS ne peut pas être considéré comme confidentiel, une messagerie dont la sécurité repose uniquement sur la confidentialité d’un code reçu par SMS n’est au final pas sécurisée.

La portée de l’attaque Salt Typhoon est donc potentiellement plus grande qu’il n’y paraît : puisque vos SMS peuvent être interceptés, les pirates peuvent prendre le contrôle de tous vos comptes qui reposent sur ce type d’authentification.

C’est grave docteur ?

Une fois que votre compte est usurpé, les conséquences dépendent de la messagerie utilisée : dans tous les cas vos messages seront reçus par le pirate et les messages qu’il enverra sembleront provenir de vous. Le chiffrement de bout en bout n’y peut tout simplement rien. Mais pour certaines messageries, le pirate pourra même accéder à tout votre historique de messages, ou à vos photos sauvegardées.

Sans authentification, le chiffrement n’est rien

Cette menace ne concerne pas uniquement votre compte, mais également celui de chacun de vos correspondants. Si vous n’avez plus aucune certitude sur l’identité de vos correspondants, que vous ne savez plus avec qui vous échangez, le chiffrement de bout en bout n’a plus aucun sens.

Le SMS a encore de beaux jours devant lui

Nous l’avons vu, un SMS ne doit pas être le seul facteur utilisé pour sécuriser l’accès à un service. En revanche, il peut rester utile comme deuxième facteur, en complément d’un autre moyen d’authentification. Ajouter un SMS ne peut pas réduire le niveau de sécurité d’une authentification, au contraire, il rend le travail des pirates plus complexe puisqu’ils doivent s’attaquer aux deux facteurs simultanément. C’est la raison pour laquelle certaines banques continuent de l’utiliser comme facteur supplémentaire à une authentification par mot de passe fort.

Les messageries instantanées reposant sur le numéro de téléphone ne pourraient-elle pas suivre le chemin emprunté par les banques et utiliser ce SMS comme deuxième facteur ? Pas si simple. Le problème fondamental est que, sur ces messageries, votre numéro de téléphone est votre seul et unique identifiant. L’introduction d’un mot de passe nécessiterait de donner accès à une procédure de réinitialisation qui ne pourrait passer que par… un SMS. Le serpent se mord la queue.

La sécurité ne vaut que si elle est partagée par tous

Les préoccupations soulevées ici s'inscrivent dans une problématique plus large qui peut être résumée ainsi : qui sont les intermédiaires auxquels il est nécessaire de faire confiance pour discuter de manière privée sur internet ?

Cette question est fondamentale et souligne l’importance du rôle joué par les opérateurs de communication et les dangers encourus s’ils sont compromis. En 2022, la société Twilio avait connu une cyberattaque qui avait permis aux pirates d’accéder au systèmes internes de l’entreprise. Spécialisée notamment dans l’envoi de SMS, Twilio compte parmi ses clients des entreprises comme Meta, Uber, ou la fondation Signal^[6]. Suite à l’attaque de Twilio, cette dernière avait indiqué que les pirates avaient eu accès « au code de vérification par SMS »^[7] de certains utilisateurs de leur messagerie. Fort heureusement, les pirates ne semblaient pas cibler Signal spécifiquement (un seul utilisateur a indiqué un piratage de son compte), mais cette attaque aurait pu concerner l’ensemble des comptes de la messagerie.

Chez Olvid, nous avons considéré qu’il ne doit y avoir aucun intermédiaire. C’est pourquoi la sécurité d’Olvid ne repose sur aucune infrastructure tierce. En particulier, elle ne repose pas sur la sécurité d’un SMS. Nos utilisateurs le savent, on ne leur a jamais demandé leur numéro de téléphone : il ne servirait à rien dans Olvid.

En décentralisant complètement la sécurité, Olvid permet à tous d’accéder à une messagerie sécurisée de bout en bout, sans avoir à faire confiance à qui que ce soit, ni à quoi que ce soit.

Enfin une bonne nouvelle

Finalement, les recommandations du FBI vont dans la bonne direction. Mais ne vous y trompez pas : si le chiffrement de bout en bout est bien une brique fondamentale de toute messagerie sécurisée, il ne suffit pas.

Choisissez une messagerie qui propose également de l’authentification de bout en bout, sans tiers auquel il est nécessaire de faire confiance, et donc sans faire reposer la sécurité sur la confidentialité d’un malheureux SMS qui n’a jamais eu la prétention d’apporter la moindre sécurité. L’équation est simple :

Finalement, il est facile de ne pas se tromper. Utilisez Olvid.

---

Trouvez et partagez la version en anglais ici : https://olvid.io/articles/salt-typhoon/en/.