WhatsApp et Telegram touchés par la faille SS7

Les chercheurs montrent une faille du protocole SS7 qui permet de pirater un compte Telegram ou Whatspp, mais on peut l’étendre à tous les comptes et services qui utilisent la double authentification par SMS.


Une faille du protocole SS7 compromet des applications comme Telegram ou Whatsapp, mais également tous les services qui utilisent l'authentification par SMS.

Les chercheurs de Positive Technologies montrent comment exploiter le protocole pour se connecter dans un compte Telegram ou en interceptant les SMS. Notons que cela ne pose pas un problème pour le chiffrement dans WhatsApp ou , mais bien au protocole SS7 qui est obsolète.

La faille SS7 permet au pirate de se faire passer pour la victime en utilisant le même numéro que cette dernière. Ensuite, il suffirait au pirate de créer un nouveau compte WhatsApp ou Telegram afin de recevoir le code d’authentification pour se faire passer pour la victime. Ainsi, le pirate contrôlerait totalement le compte en accédant à toute l’activité en pouvant lire et envoyer des messages.

La faute à un protocole de téléphonie datant de la préhistoire

Les failles du protocole SS7 sont connues depuis 2014. Le protocole Signaling System No. 7 (SS7) est une norme développée afin que les telcos puissent interconnecter les lignes de téléphonie fixe et les réseaux mobiles. Ce protocole est très important dans les communications téléphoniques, mais il n’a jamais été amélioré en prenant en compte les nouvelles technologies du mobile.

Le fonctionnement de la faille SS7

Le fonctionnement de la faille SS7 – Crédit : Positive Technologies

De nombreux chercheurs ont averti sur la faiblesse du SS7, notamment pendant la 31e édition du Chaos Communication Congress en Allemagne. Positive Technologies faisait partie des entreprises qui avaient sonné l’alarme en publiant un long rapport sur les problèmes du protocole en décembre 2015.

La solution de Telegram à la faille SS7

Pavel Durov, l’un des fondateurs de Telegram, estime que l’authentification par 2 étapes permet de réduire les risques de cette faille. En gros, on configure un mot de passe dans cette double authentification. Et quand on se connecte à son compte Telegram depuis un nouvel appareil, alors il faudra fournir le mot de passe en plus du code qu’on reçoit par SMS. À la base, la double authentification permettait de se protéger du vol de mot de passe et maintenant, l’ancienneté des normes téléphoniques nous force à utiliser de nouveau le mot de passe pour renforcer l’authentification par SMS. Dans la sécurité informatique, il est de notoriété qu’on tourne en rond.

Une vidéo de la faille SS7 dans Telegram :

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *