Usurpation de numéro de portable, reportage envoyé spécial

[Liet Kynes]

Bonjour,

Un reportage diffusé hier montre les systèmes d'arnaques basés sur l'usurpation de n° de téléphone: un appel entrant affiche un numéro de téléphone de confiance.

A priori il n'y a pas de solution technique pour s'en prémunir.
Pendant le reportage, un Hacker éthique montre comment cela fonctionne mais surtout il parvient à écouter les conversations entre victimes et arnaqueurs.

Voir la vidéo à partir de 39 minutes: https://www.francetvinfo.fr/replay-m...4_6357094.html

Cela signifie-t-il que n'importe quel portable peut être mis sous écoute par n'importe qui ?
-----

[umfred]

Si quelqu'un peut le faire, alors c'est techniquement possible. Donc si une personne dispose des outils, oui, mais c'est loin d'être légal (une écoute policière ne fait pas comme ça, il y a tout une procédure juridique pour autoriser et rendre ces écoutes légales devant la loi).
Là, le hackeur éthique écoute juste la ligne de l'arnaqueur (donc entends sa conversation et doit accéder aussi aux numéros appelés par celui-ci ainsi que contrôler son téléphone (pour pouvoir raccrocher).
(ça permet de rappeler de ne pas installer tout et n'importe quoi sur son téléphone et vérifier ce qu'une application demande comme autorisation avant d'accepter ou refuser l'installation.

[Liet Kynes]

Ben oui mais comment est-ce possible d'avoir le contrôle sur les téléphones des arnaqueurs pour le hacker?

[umfred]

on arnaque l'arnaqueur en lui faisant installer un spyware par exemple à son insu (il y a peut-être (sûrement) d'autres méthodes)

[A voir en vidéo sur Futura]

[Liet Kynes]

on arnaque l'arnaqueur en lui faisant installer un spyware par exemple à son insu (il y a peut-être (sûrement) d'autres méthodes)

Le truc c'est qu'en voyant le reportage il y en a quand même pas mal qui sont écoutés, j'ai du mal à croire à la variante du spyware

[Bounoume]

Si le spyware dispôse des droits administrateur,il fait ce qu'il veut, sans aucune limitation...
après, faut encore écrire le programme pour faire des choses un peu exotiques....
et il faut le (faire) charger sur le système vicime

alors,

étant admis qu'un pirate peut installer un spyware sur un téléphone victime..... et (comment, ce n'est pas le problème) écouter le trafic audio sur le téléphone.....
existe-t-il des spywares plus puissants, qui vont transmettre aussi une copie image de l'écran..... et même en plus, les cordonnées des clicks quand la victime sélectionne des champŝ (numeriques!) sur son écran ?
Et meme cerise sur le gâteau, où le pirate pourrait contrôler écran ou/et clavier?


cela.... si c'est possible, ça permet de hacker la double identification par le sms envoyé par une appli bancaire ..... quand le pigeon est en train de s'identifier depuis son mobile, tout à fait normalement, avec le site authentique de sa banque, en mode 'données mobiles' et même mieux, connecté en wifi avec sa box..... ?



autre arnaque non évoquée: les flash code.à la mode... si le truc lance un logiciel malveillant (forcément à l'insu du pigeon d'utilisateur) quelle protection?

[trebor]

Bonjour,

Un reportage diffusé hier montre les systèmes d'arnaques basés sur l'usurpation de n° de téléphone: un appel entrant affiche un numéro de téléphone de confiance.

A priori il n'y a pas de solution technique pour s'en prémunir.
Pendant le reportage, un Hacker éthique montre comment cela fonctionne mais surtout il parvient à écouter les conversations entre victimes et arnaqueurs.

Voir la vidéo à partir de 39 minutes: https://www.francetvinfo.fr/replay-m...4_6357094.html

Cela signifie-t-il que n'importe quel portable peut être mis sous écoute par n'importe qui ?

Bonjour à tous,
C'est pourquoi je n'utilise pas de smartphone pour me connecter à la banque, car la sécurité numérique n'existe pas.
Il y a quelque jour j'ai vu à la TV un pirate ouvrir d'un coup à l'aide d'un pc portable plusieurs voitures garées dans un parkings et puis démarrer facilement le moteur et partir avec la voiture de son choix et cela en très peu de temps.
Pour s'en protéger, une cane sur le volant et pour le smartphone jamais pour la banque ni d'effectuer des payements.
Même à la maison avec l'ordinateur pour me connecter à la banque je ne suis pas rassuré, malgré que j'utilise un pc portable uniquement pour mi connecter avec un digipass et jamais de QR code.

[Flyingbike]

Bonjour à tous,
C'est pourquoi je n'utilise pas de smartphone pour me connecter à la banque, car la sécurité numérique n'existe pas.
Il y a quelque jour j'ai vu à la TV un pirate ouvrir d'un coup à l'aide d'un pc portable plusieurs voitures garées dans un parkings et puis démarrer facilement le moteur et partir avec la voiture de son choix et cela en très peu de temps.
Pour s'en protéger, une cane sur le volant et pour le smartphone jamais pour la banque ni d'effectuer des payements.
Même à la maison avec l'ordinateur pour me connecter à la banque je ne suis pas rassuré, malgré que j'utilise un pc portable uniquement pour mi connecter avec un digipass et jamais de QR code.

2 choses :
Ce qu’on voit à la télé ce n’est pas toujours pour de vrai.

Consulter le site de sa banque avec un smartphone ou un PC c’est exactement pareil.

La sécurité des transactions et de l’accès aux donnés bancaires est bonne, il ne faut pas être paranoïaque.

Le problème est quasiment systématiquement au niveau de l’interface chaise clavier. https://www.certeurope.fr/blog/dsp2-...s%20en%20ligne.

[MissJenny]

je me demande comment on peut à partir d'un portable passer un appel en usurpant un numéro de téléphone fixe. J'imagine que quand un portable se connecte au réseau il doit envoyer un identifiant, ne serait-ce que pour permettre la facturation de l'appel. Mais les numéros fixes n'ont certainement pas d'identifiant sur les réseaux de téléphonie mobile. C'est vraiment étrange, et en tout état de cause ça paraît assez trivial de l'interdire.

[Liet Kynes]

Pour moi il y a deux possibilités:

L'appli qui permet d'usurper un n° de tel contient un spyware ou le hacker arrive à infiltrer le réseau mobile.

[Ikhar84]

Faut pas croire tout ce qu'on voit à la TV...

[Liet Kynes]

Faut pas croire tout ce qu'on voit à la TV...

C'est bien pour cela que j'ouvre ce fil

[jiherve]

bonjour,
j'ai été victime de spoofing téléphonique : c'est mon numéro de portable qui apparaissait au lieu de celui du harceleur d'une ado , heureusement que cela se passait de l'autre coté de la France et que la mère de la gamine m'a cru, j'ai voulu porter plainte et la maréchaussée m'a dit que cela ne servirait à rien!
C'est une opération très simple à réaliser , multiples offres sur le net!
JR

[gienas]

Bonjour à tous

Faut pas croire tout ce qu'on voit à la TV...

Certes, mais là, dans le cas du reportage, tout ne peut pas être faux.

J'ai moi-même été très surpris de la démonstration qui a touché des numéros portables mais aussi fixes.

... C'est vraiment étrange, et en tout état de cause ça paraît assez trivial de l'interdire.

Problème aussi évoqué, mais c'est l'ensemble des fournisseurs d'accès qui ont la "clef" pour pouvoir le faire. Le veulent-ils?

... Consulter le site de sa banque avec un smartphone ou un PC c’est exactement pareil ...

C'est aussi ce que je pense, mais mon expérience récente me laisse perplexe.

... pour me connecter à la banque ... j'utilise un pc portable uniquement pour mi connecter avec un digipass et jamais de QR code.

Je le pensais aussi.

Depuis peu, ma banque (très proche de la ruralité) me talonne pour mettre à jour mes données personnelles (les miennes et celles de ma moitié, même si nous avons le même compte) et cela avait déjà été fait il y a moins d'un an.

Un courrier papier (enfin deux) a même été envoyé, comportant un QR code nous sommant de le faire.

J'ai donc scanné ce code et me suis effectivement trouvé dans le site de la banque qui me demande mon état civil (alors que le QR code était le mien, pas celui de mon épouse. Admettons.

La suite me demande mes revenus personnels (que je ne connais pas, c'est groupé dans le compte joint et la banque peut faire la part des choses, c'est nominatif dans les libellés, puis l'estimation de ma résidence avec séparation propriétaire/locataire). C'est au moment d'une vente que l'on estime un bien.

La même page me propose de télécharger un document qui, je pensais, allait m'aider. La réponse est un SMS qui me demande de cliquer sur un lien en m'annonçant un coût de 4,5€ plus prix du SMS. Le nom du "service" (InfiniteGame de SerialScreener) me laisse supposer qu'il s'agit d'un jeu.

J"ai donc décidé "d’arrêter les frais" et de prendre rendez-vous à ma banque.

La banquière ne comprend pas ma constatation et a envoyé un mail au service des fraudes et recevra (peut-être) un jour une réponse. Elle a fait manuellement les mises à jour demandées, et m'a donné rendez-vous l'année prochaine pour renouveler l'opération.

Comme toi, trebor, je deviens méfiant, même sur des donnée personnelles qui ne le sont pas forcément autant qu'on le croit.

[jiherve]

re
dans ce cas le réflexe doit etre : téléphoner à la banque.
Les banques , enfin celles que je fréquente, n'utilisent jamais ce moyen, moi je ne dispose de rien pour lire un QR code, je n'en ai aucun besoin!
Pour les infos à fournir type scan de CNI toujours penser à les barrer avec la raison sociale du destinataire, soit de façon électronique dans le fichier avant transfert ou impression soit après impression avec un bon vieux stylo indélébile .
JR

[Ikhar84]

@gienas :
J'ai déjà vu un rigolo sur un plateau TV "hacker" en live les smartphones des "innocentes victimes" autour de la table...

Un foireux nuuméro de foire...

Après que beaucoup de spectateurs peu crédules aient posté sur les réseaux sociaux tout le bien qu'ils pensaient de la séance de spiritisme smartphonique, j'ai moi-même cherché le background du "chercheur en sécurité informatique" présenté comme tel en tout cas, vulgaire "conférencier influvoleur", l'emission s'est rétracté et a présenté ses excuses...

Pour en revenir au reportage ici, pas eu le temps d'y jeter un oeil, promis je le ferais, mais en attendant :
Accèder au smartphone d'une personne lambda demande :
- de profiter de la crédulité, naïveté, d'un moment de faiblesse, etc. pour lui faire installer un outil de prise de contrôle à distance
- accèder physiquement au matériel, pour y installer un outil de prise de contrôle à distance
- utiliser une faille dans la chaîne logiciel de communication (peu de chance que ce soit dans la partie gérée par l'opérateur ou ses prestataire, dans le cas de la prise de contrôle d'un appareil, bien sûr), donc dans le système de messagerie (sms, réseaux sociaux,...), de communication (appli téléphone, navigateur, clients divers, email par exemple)...

On ne peut pas viser une personne au hasard dans le monde, entrer son numéro dans un logiciel et cliquer sur "Attaquer" !

(En tout cas juste en appelant le numéro !)
Les logiciels qui s'en approchent essaient de localiser l'appareil, en determiner le type, la marque etc, les logiciels qui tournent dessus, etc.

Voici un scénario crédible :
Les attaques se font par email ou sms en profitant de failles logiciels, les appels ont juste pour but de vérifier que le numéro est bien fonctionnel...
Un sms est envoyé au numéro, en "forgeant" le sms pour que le numéro expéditeur paraisse fiable. Aucun numéro de l'expéditeur n'est en fait obligatoire dans le process.
Il faut juste éviter que les systèmes de routage intermédiaires ou finaux (opérateur de la cible) rejettent les paquets (le sms).
Le message contient du code qui profite de failles de l'appareil ou du logiciel de sms pour exécuter du code (arbitraire): télecharger du code malveillant par exemple...

Le code malveillant profite aussi d'une faille pour télécharger et installer discrètement un outil de prise de contrôle à distance...

L'appareil ne vous appartient plus : c'est le joujou de l'attaquant !

Edit : dsl du pavé, sur smartphone en plus !
Edit2 : voilà, je crois, l'emission dont je parle :
https://www.youtube.com/watch?v=9oc9FbrKA5k

[titijoy3]

le piratage de smartphone est très répandu, même en étant prudent on peut en être victime

[f6exb]

Edit2 : voilà, je crois, l'emission dont je parle :
https://www.youtube.com/watch?v=9oc9FbrKA5k

C'est du Hanouna, ça veut tout dire.

[trebor]

2 choses :
Ce qu’on voit à la télé ce n’est pas toujours pour de vrai.

Consulter le site de sa banque avec un smartphone ou un PC c’est exactement pareil.

La sécurité des transactions et de l’accès aux donnés bancaires est bonne, il ne faut pas être paranoïaque.

Le problème est quasiment systématiquement au niveau de l’interface chaise clavier. https://www.certeurope.fr/blog/dsp2-...s%20en%20ligne.

La TV nous mentirait pour quelle raison,....... nous faire peur ?
Avec un pc portable en utilisant un digipass, cela me semble plus sécurisant, même si un moment de distraction est toujours possible en ouvrant un lien qui n'est pas celui de la banque, c'est surtout là qu'il faut faire fort attention.
Plus rassurant pourquoi :
1-L'écran est plus grand sur un pc que sur un smartphone et une tablette que je n'utilise pas.
2-Le https qui doit être présent
3-Le cadenas présent également
4- Un code pour s'identifier sur le site de la banque.
5-L'utilisation d'un digipass + un code secret + un code reçu sur le digipass à communiquer sur le site de la banque.
6-On y est si toute la procédure s'est bien passée normalement.

[gienas]

... Les banques , enfin celles que je fréquente, n'utilisent jamais ce moyen ...

C'est un peu plus "pointu" que ça.

C'est vrai qu'il m'arrive de recevoir des emails de banques concurrentes à la mienne, là c'est sûr que c'est du phishing.

J'ai reçu aussi ce type de message de "ma" banque, que je dénonce à abuse.fr quand le message demande de procéder à une mise à jour par un lien.

Mon cas était que l'email me signalait qu'un message était à lire sur mon espace client. C'est après l'insistance (car plusieurs relances email ont été faite) mais surtout le courrier papier comportant le QR code (que j'ai scanné) que je pense avoir été piégé.

La vidéo d'Hanouna est en effet suspecte. Le smartphone de l'expérience a été fourni par le manipulateur. On ne sait pas quelles "préparations" y ont été faites.

[djaro]

Bonjour
Quelques recommandations:
En ce qui concerne les banques il faut utiliser uniquement l'application dédiée uniquement à votre banque est plus fiable et sécuritaire qu'avec votre PC sans oublier aussi le contact par la messagerie sécurisée avec votre banque oublier tout lien, QRC ou N° telephone en dehors de votre application. ou de vos contacts enregistrés au préalable

Ne pas oublier non plus sur l'application de désactiver l'utilisation de votre CB a l'étranger ( si vous n'y êtes pas) autant de fois que vous souhaitez sans limite et sans oublier aussi a désactiver "Achat par internet" quand cela n'est pas nécessaire bref activation/désactivation a a volonté pour moi par contre ne pas oublier de l'activer pendant un achat sinon grosse surprise de refus de payement

De plus, certaines personnes qui se connectent à leurs banques d'une manière irréfléchie font appel à aux moteurs de recherche au gré des liens proposés sans avoir pris la précaution d'enregistrer en favoris bien auparavant.
ont beaucoup plus de chance de faire une connaissance avec le phishing et de plus, si le PC est vérolé, un grand bonheur pour ceux qui veulent se remplir les poches
Il m'arrive aussi de me connecter à ma banque avec le PC, mais uniquement pour télécharger le relevé mensuel et faire le pointage qui est plus pratique sur PC.

Et que dire d'une seule adresse e-mail unique et d'un n° tel unique à toutes les sauces!! Achat, réseaux, institutions, amis et j'en passe. c'est sur qu'après on s'étonne du schmilblick ou qui est le vrai ou le faux

Pour les anxieux:
j'avais gardé quelques codes au fond du tiroir. et posté bien longtemps déjà a une époque sur FS d'ailleurs certains sont plus que secret par l'operateur pour ne pas faire des bêtisés

pour connaitre si votre téléphone est surveillé ou le n° est renvoyé, il suffit de composer *
*#21# il ne doit pas y avoir de N° de téléphone ni de transfère

pour connaitre si un N° de tel *espion est enregistré dans la mémoire, il suffit de composer **#62# *ATTENTION *le n° *unique qui doit apparaitre, c'est votre messagerie vocale. pour vérifier ce N° composez *#61#
Tous cela bien sur hors malveillant par data

[djaro]

Rectification sur les Etoiles à tire-larigot je viens de m'en apercevoir
*#21#

*#62#

*#61#

[Flyingbike]

cela concerne les renvois d'appel, qui sont une fonction banale, et donc les appels entrants. Cela n'a rien de secret.

Aucun rapport avec de l'espionnage ou du suivi ou du vol de données comme on peut le voir partout.

Il faut cesser de colporter ces âneries.

[djaro]

Tu as lu quelque part que j'ai mentionné le terme « suivi ou du vol de données ». Après, reste à connaitre ton interprétation sur l'espionnage.
Egalement, « qui n'est pas un secret », j'en doute, à moins que la France entière ait approfondi le sujet.
Après, un expert en financements structurés et un analyste d'affaires que je ne nommerais pas par discrétion ne serait pas tellement d'un avis pseudo intellectuel comme tu viens de décrire

Le sujet risque d'être dévié. Donc, pour cela, bonne soirée a tous

[Liet Kynes]

Merci des réponses, en particulier ton éclairage Ikhar84

Au final, le hacker éthique fait une démo-pipo ce qui n'est pas du tout éthique du point de vue journalistique avec un gros message pourri derrière le reportage qui serait "il y a des moyens techniques de lutte mais l'état ne fait rien" Il y a longtemps que j'ai renommé la télé "MARC": machine à rendre con

[Flyingbike]

Tu as lu quelque part que j'ai mentionné le terme « suivi ou du vol de données ». Après, reste à connaitre ton interprétation sur l'espionnage.
Egalement, « qui n'est pas un secret », j'en doute, à moins que la France entière ait approfondi le sujet.
Après, un expert en financements structurés et un analyste d'affaires que je ne nommerais pas par discrétion ne serait pas tellement d'un avis pseudo intellectuel comme tu viens de décrire

Le sujet risque d'être dévié. Donc, pour cela, bonne soirée a tous

Non, tu as dit "surveillé", c'est un des termes qu'on retrouve à côté d'"espionné, suivi, etc..." dans les sites très nombreux qui relaient ces "codes secrets". C'est un terme qui n'est pas adapté car ce n'est pas à cela que ça sert.



D'ailleurs ce sont des codes dits USSD, leurs spécifications sont gérées comme celles du GSM ou de la 3G par exemple, ils sont utilisés partout sur la planète et on trouve même la liste sur Wikipédia : https://en.wikipedia.org/wiki/Unstructured_Supplementary_Ser vice_Data

ou sur les sites des opérateurs : https://assistance.sfr.fr/internet-tel-fixe/tel-fixe/gerer-options-appels-box-thd-sfr.html#:~:text=Pour%20active r%20le%20service%20et,le%20num %C3%A9ro%20de%20renvoi%20chois i).

Donc non, clairement pas un secret à moins de virer complotiste.

[Forhorse]

2-Le https qui doit être présent
3-Le cadenas présent également
4- Un code pour s'identifier sur le site de la banque.
5-L'utilisation d'un digipass + un code secret + un code reçu sur le digipass à communiquer sur le site de la banque.

2 & 3 ça ne veut rien dire, aujourd'hui 99.9% des sites sont en https (+cadenas qui n'est qu'un simple indicateur visuel de https) n'importe qui peut installer un certificat, même ma box domotique que j’héberge a la maison sur un simple Raspberry PI, avec un nom de domaine no-ip est en https... CE N'EST ABSOLUMENT PAS UNE GARANTIE

4 un code ça peut se trouver, y a plein de methodes, de la plus bourrin à la plus sournoise...

5 ton digipass c'est juste un smartphone donc l’écosystème est verrouillé par la banque, ce qui empêche généralement la plus grosse faille de sécurité : l'utilisateur. Mais comme tout objet connecté, si il y a une faille logicielle exploitable, elle peut être utilisée pour pirater l'appareil.

[MissJenny]

5 ton digipass c'est juste un smartphone donc l’écosystème est verrouillé par la banque, ce qui empêche généralement la plus grosse faille de sécurité : l'utilisateur. Mais comme tout objet connecté, si il y a une faille logicielle exploitable, elle peut être utilisée pour pirater l'appareil.

il me semble que ce digipass n'est pas connecté justement.

[Bounoume]

si j'ai bien compris, ce codes USSD peuvent ếtre expédiés soit par l'opérateur, soit par l'utilisateur légitime.....
leurs effets sont listés sur le wiki en anglais (mais pas la version française).... déjà un user légitime mais malhonnête peut travestir le numéro depuis lequel il passe l'appel ?
Est-ce qu'un malveillant peut en expédier un USSD depuis son portable, à destination d'un portable victime?

[Ikhar84]

Non pas directement.
Les "paquets" utilisés par les opérateurs sont identifiés et sécurisés.
Dans le cas général, impossible d'exécuter une commande en usurpant l'identité de l'opérateur (oui dans le cas général, des exceptions existent).
Et ces codes ne sont pas si utiles que ça depuis les OS mobile avançés (iOS, Android, ...).

Par contre, les attaquants utilisent des failles souvent non encore connues, et là personne ne peut rien faire, si la faille n'est pas découverte, souvent au niveau de l'OS ou de la messagerie, via un sms "forgé", par exemple.

Voir les cas des logiciel "espion" Pegasus, Reign... imparables et intraçables, jusqu'au leak des failles...
Mais là on vise des cibles particulièrement interréssantes, politiquement ou économiquement, pas le péquin moyen...

Le moyen le plus simple reste de demander gentiment à la cible d'installer l'outil de prise de contrôle, en lui envoyant un sms, un email, ou en lui faisant visiter un site sous contrôle ou vérolé, c'edt trllement simple, sans risque, pas chère à mettre en place et à exploiter en masse... pour le péquin moyen, la cible idéale, on va pas s'embêter sur plusieurs années de R&D, de chasse au failles inconnues, de faire tourner des super serveur gourmand en énergie et ressource humaine qualifiée, etc.
C'est le boulot de puissance économique ou étatique, avec des armées cyber formées et entretenues...

Pour les écoutes, tous les appels passés sur une antenne, locale, peuvent être écoutés, il faut être physiquement pris en charge par la même antenne, mais pour déchiffrer les communications, ou il faut casser les clés de chiffrement (certaines ont été cassées, mais ne devraient plus être utilisées), soit possèder ces clés (police, état, opérateur, ...).

La meilleure protection est une hygiène numérique rigoureuse :
1. Ne pas cliquer sur un lien, comme dans les cas des emails.
2. Ne pas installer une appli car demandée par un inconnu, mais avec l'assurance d'une certaine légitimité (opérateur télécom, opérateur bancaire, tech de maintenance, ...).
3. Ne pas installer d'applis depuis des sites suspects ou des stores d'application non légitime (appli crackée attractives)...
4. Ne pas visiter des sites douteux qui lancent l'installation d'appli non souhaitées...
5. Etc.