Le 1er janvier, un technologue surnommé regexer a reçu un e-mail l’informant qu’il avait réussi à réinitialiser son compte sur l’échange de crypto Coinbase.
Malheureusement – et de manière inquiétante – il n’avait en fait pas demandé de réinitialisation de mot de passe. Regexer, qui a demandé à être désigné par son surnom en ligne de peur d’être à nouveau ciblé par des pirates, s’est rapidement rendu compte qu’il était piraté et ses tentatives de connexion à sa Coinbase pour reprendre le contrôle ont échoué.
Peu de temps après, il a remarqué qu’il n’avait pas de service de téléphonie cellulaire. Ensuite, son application à deux facteurs, Authy, l’a informé qu’un nouvel appareil avait été ajouté à son compte. Après que les pirates ont pris le contrôle du service de téléphonie mobile de regexer, les pirates ont pu réinitialiser les mots de passe de ses comptes et intercepter les messages SMS à deux facteurs. Cela a permis aux pirates de prendre le contrôle d’Authy, leur donnant la possibilité d’utiliser les codes 2FA créés par l’application, selon regexer.
Cela leur a donné une chance de s’introduire dans encore plus de comptes appartenant à regexer.
« Maintenant, je ne sais pas ce qui se passe. Je suis totalement propriétaire », a déclaré regexer à TechCrunch, rappelant l’incident.
Ne sachant pas quoi faire, regexer a commencé à changer les mots de passe de ses autres comptes importants qui n’avaient apparemment pas encore été compromis. Puis, sur un coup de tête, il a commencé à activer et désactiver le mode avion sur son iPhone. D’une manière ou d’une autre, après quelques tentatives, son service de téléphonie mobile a été rétabli.
Regexer n’est pas sûr que l’activation et la désactivation du mode avion aient arrêté l’attaque, mais il est heureux que cela se soit produit.
Pendant des semaines, regexer n’a eu aucune idée de la façon dont il avait été piraté. Puis, lundi, il a reçu un e-mail de son fournisseur de téléphonie mobile, Google Fi, l’informant, ainsi que tous les autres clients, que des pirates avaient volé les informations de certains clients, probablement en lien avec la récente brèche chez T-Mobile.
Contrairement à d’autres clients, l’e-mail reçu par regexer contenait des informations plus détaillées sur le piratage qu’il avait subi des semaines auparavant.
« D’autres données liées à votre compte Google Fi peuvent également avoir été consultées sans autorisation, telles qu’un code postal et l’adresse de service/d’urgence associée à votre compte », lit-on dans l’e-mail, que regexer a partagé avec TechCrunch. « Par ailleurs, le 1er janvier 2023 pendant environ 1h48, votre service de téléphonie mobile a été transféré de votre carte SIM vers une autre carte SIM. Pendant la durée de ce transfert temporaire, l’accès non autorisé pourrait avoir impliqué l’utilisation de votre numéro de téléphone pour envoyer et recevoir des appels téléphoniques et des SMS. Malgré le transfert SIM, votre messagerie vocale n’a pas pu être consultée. Nous avons restauré le service Google Fi sur votre carte SIM.
Regexer a déclaré qu’il avait parlé à deux représentants de clients Google Fi essayant de comprendre plus de détails sur ce qui s’était passé, mais aucun d’eux ne lui avait rien dit. Et, fait intéressant, regexer n’a vu aucune preuve que son compte Google, qui est lié au compte Google Fi, a été compromis. On ne sait pas comment les pirates ont pu effectuer l’échange de carte SIM.
Google n’a pas répondu à une demande de commentaire. Et on ne sait pas encore s’il y avait d’autres personnes, ou combien, spécifiquement ciblées par les pirates comme l’était regexer.
Une fois qu’il a repris le contrôle de cette vie en ligne, regexer a enquêté sur le piratage et a découvert que les pirates avaient également pris le contrôle de son compte de messagerie Outlook, et – intelligemment – dans un effort pour cacher leurs actions, a supprimé les e-mails informant de la réinitialisation du mot de passe.
Même si rien d’autre ne s’est passé depuis le 1er janvier, regexer est toujours inquiet et demande à Google de divulguer plus d’informations.
« La principale chose que j’aimerais savoir, c’est si moi et les autres sommes toujours vulnérables, et s’il y a quelque chose que nous pouvons faire pour nous protéger. J’aimerais connaître plus de détails sur les mécanismes qui ont été utilisés pour la prise de contrôle du numéro de téléphone, car cela éclairera le niveau de vulnérabilité actuelle et les méthodes de défense, ainsi que si les SMS à deux facteurs restent meilleurs que pas de deux facteurs du tout. (Je peux remplacer les SMS pour certains comptes en ligne, mais pas tous. De nombreuses banques et d’autres n’autorisent que deux facteurs par SMS.) J’aimerais également savoir combien de personnes ont vu leur numéro de téléphone piraté en relation avec la violation, et, s’il s’agissait d’un petit sous-ensemble, y avait-il une raison pour laquelle nous étions ciblés en particulier », a déclaré regexer.
« Donc, à moins que Google ne fasse plus de lumière sur l’attaque, il y a une grande question ouverte sur la vulnérabilité actuelle des numéros de téléphone des personnes. »
Êtes-vous un abonné Google Fi qui a également été victime d’une attaque similaire ? Avez-vous également reçu une notification personnalisée de la société concernant le piratage contre vous ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail [email protected].