Lors de la conférence Def Con hacking, qui a eu lieu à Las Vegas, Martin Vigo, un hacker espagnol spécialisé en sécurité mobile a présenté de nouvelles recherches. Celles-ci démontrent à quel point il est aisé pour des hackers d’accéder à une messagerie vocale dans le but de récupérer des identifiants de connexion à des comptes PayPal et WhatsApp.

Pourquoi le fait que des hackers accèdent à votre messagerie vocale pourrait-il être dangereux ?

Les quatre principaux opérateurs de téléphonie américains, par exemple, utilisent des codes PIN standards, faciles à deviner alors qu’ils sont censés sécuriser l’accès à une messagerie vocale. En effet, la plupart utilisent les derniers chiffres du numéro de téléphone auquel le compte est associé, tandis que les autres utilisent le même code à quatre chiffres par défaut. Lorsqu’il a été interrogé sur ses recherches, Martin Vigo a déclaré :

Les messages vocaux sont encore mal sécurisés et la plupart des failles de sécurité qu’ils représentent ont été documentées il y a plus de 30 ans. D’ailleurs, elles ont été en grande partie inchangées dans les back-ends des opérateurs mobiles.

Par ailleurs, même si les utilisateurs personnalisent le code d’accès à leur messagerie vocale, le niveau de sécurité est tout de même réduit. Le risque, en cas de piratage, a considérablement augmenté à cause des dispositifs d’authentification à deux facteurs mis en place pour de nombreuses applications web. En effet, le code d’activation envoyé par SMS n’est pas utilisé sous quelques heures, un appel automatique est passé sur la ligne concernée. Si le smartphone n’est pas disponible, l’information est laissée sur la messagerie vocale du destinataire. Bien plus efficace que les Mini CD gravés envoyés pas la Chine,  grâce à cette technique les hackers peuvent s’emparer aisément de plusieurs comptes en quelques minutes.

Par conséquent, tout service comme PayPal qui transmet des codes par voie vocale sur un téléphone peut conduire à un piratage de ce même compte. Une authentification à deux facteurs dangereuse !

Source