Quel est le lien entre votre messagerie vocale et 2600 ?

Voilà l’enregistrement d’une conférence qu’il ne faut rater à aucun prix ! C’est probablement la meilleure façon d’utiliser 42 minutes dans cette journée, qu’elle soit à peine entamée ou presque finie. Promis. Garanti même! Il s’agit de Martin Vigo (@martin_vigo) qui nous offre une magnifique démonstration de l’importance de l’histoire, des bases technologiques sur lesquelles tout le confort d’aujourd’hui est construit, et que l’expérience est irremplaçable.

Sa présentation traite des messageries vocales que tous les opérateurs de téléphonie mobile fournissent (presque) automatiquement.

Vous avez changé votre code PIN par défaut ?

Qui s’en préoccupe vraiment ? Qui s’est efforcé de choisir un code PIN plus sérieux que « 1234 », « 0000 » ou simplement différent de celui des cartes de crédit ? Qui a même simplement remplacé le code PIN par défaut si l’opérateur en utilise un ? Je vous garantis qu’à la fin de la vidéo, vous irez changer votre code PIN. Immédiatement. Et vous ferez bien.

Pendant cette présentation au rythme soutenu et ponctué de démonstrations percutantes, vous apprendrez que la messagerie vocale est un point totalement négligé qui permet de prendre le contrôle des comptes Paypal, eBay, Google, et même Whatsapp. Oui ! Whatsapp ! Vous avez bien lu.

Martin Vigo a notamment analysé les systèmes utilisés aux USA et en Allemagne et a constaté que la technologie n’a pas beaucoup évolué depuis les systèmes téléphoniques des années 70-80. Il fait bien sûr référence au phreaking qui consistait à trouver le moyen de contourner les systèmes téléphoniques de cette époque pour pouvoir notamment passer des appels longue distance gratuitement à l’insu des opérateurs. En l’occurence, John Draper aka Cap’n Crunch a découvert qu’on pouvait utiliser ce sifflet-jouet qu’on trouvait dans des boîtes de céréales et qui produisait -coup d’bol impensable- la bonne fréquence de 2600Hz utilisée par les centraux AT&T.

Pour parvenir à ces bidouillages, il fallait comprendre comment marchaient les centraux téléphoniques, déduire qu’ils détectaient certaines fréquences et réagissaient en fonction de celles-ci comme à une sorte de télécommande acoustique. C’est cette insatiable curiosité de découvrir le fonctionnement de toutes les choses qui permet d’imaginer d’autres usages que ceux prévus à l’origine. C’est dans ce rapport aux choses que le hacker s’identifie.

Revenons à Martin Vigo qui démontre que ce qui a été découvert il y a largement plus de 30 ans peut toujours inspirer et être utile de nos jours. L’approche est identique mais les outils ont été modernisés. Il explique qu’on trouve facilement des prestataires de services téléphoniques dématérialisés et à très bas prix. On peut ainsi effectuer des appels téléphoniques par le biais de scripts, très simplement, et à très grande échelle (passer plusieurs milliers d’appels, tous en même temps). Ca permet par exemple de tenter de découvrir le code PIN d’une messagerie vocale en essayant toutes les combinaisons possibles, automatiquement et sans que le titulaire de l’abonnement ne s’en aperçoive.

Un robot laisse un message vocal à un autre robot

… that’s why we can’t have nice things

Une fois que l’accès à la messagerie vocale est obtenu, les services de remplacement de mot de passe de tous les principaux prestataires sont exploitables (eBay, Whatsapp, LinkedIn, Google, etc). Ils offrent en effet la possibilité d’indiquer qu’on a perdu son portable et qu’on ne peut donc pas recevoir un code par SMS. Ces prestataires proposent alors de vous appeler automatiquement et de vous lire un code. Si on parvient à caler ce coup de fil avec la certitude que le titulaire du raccordement mobile n’est pas connecté au réseau, on peut être sûr que le code sera enregistré par la messagerie vocale. Comme ce sont des machines qui vous appellent et lisent ces codes, elles ne verront pas la différence entre un humain et une messagerie vocale. Et comme on a obtenu le code PIN de celle-ci, on peut écouter le message, écouter le code du prestataire puis terminer la procédure de changement de mot de passe. Et hop, le compte est à nous. Ca à l’air simple hein ? Et bien ça l’est assez dans le fond.

Et l’authentification à double facteur dont je parlais ici n’est d’aucune utilité puisqu’on la contourne complètement.

o_O

What could possibly go wrong ?

La démonstration avec Whatsapp est vraiment édifiante. Quand on sait que bon nombre d’opérateurs appliquent des codes PIN par défaut (ou toujours construits sur le même principe, ce qui revient strictement au même) et que la très grande majorité des gens ne les remplacent pas…

Le message passe fort et clair : changez vos codes PIN, ou désactivez la messagerie si vous ne vous en servez pas. Il donne aussi plusieurs pistes pour permettre aux opérateurs de s’améliorer et de mieux protéger leurs clients, de faire avancer les choses et il y a du travail. Beaucoup.

La connaissance et l’expérience sont des atouts qui feront la différence

En filigrane de sa présentation, on observe aussi que la connaissance du fonctionnement interne des systèmes est un atout considérable et que cela ne doit pas se perdre avec les nouvelles générations. Qui étudie vraiment la préhistoire de l’informatique ? Qui a entendu parler des modems ? Qui connait les termes PDP, VAX, LSB ou EBCDIC ? Qui sait à quoi servent les LBA ou pourquoi il y avait des jumpers à l’arrière des disques ? D’ailleurs, c’est quoi un jumper, je veux dire à part ça ? Il suffit de constater l’âge des personnes qui ont les réponses à ces questions et on peut vite s’inquiéter.

Bien sûr, tout ceci ne sert plus directement aujourd’hui, et pourtant cette connaissance offre une vision infiniment plus large et plus claire de toute la technologie contemporaine. Au lieu d’être limité à la surface des choses, on a la perception d’ensemble, globale, et on est d’autant plus efficace dans son travail qu’on a une maîtrise la plus large possible du sujet.

Les filières informatiques doivent consacrer le temps vraiment nécessaire à conserver et transmettre ces bases historiques, fondamentales, constituantes, dans toutes les orientations technologiques. On peut avoir parfois l’impression qu’elles sont trop pressées de mettre de nouvelles compétences sur le marché en négligeant de s’assurer de la solidité de leurs fondations. Avant qu’il ne soit trop tard et que plus personne ne sache vraiment comme tout ça fonctionne.