Semaine 50: Attaque des fournisseurs d'applications par SMS trafic pumping

Service navigation

Recherche

Navigation

Semaine 50: Attaque des fournisseurs d'applications par SMS trafic pumping

20.12.2022 - La semaine dernière, 635 signalements sont parvenus au Centre national pour la cybersécurité (NCSC), soit presque autant que la semaine précédente. Des cybercriminels ont notamment tenté de gagner de l'argent en utilisant la technique «SMS trafic pumping» et des numéros de téléphone étrangers.

Attaques contre les applications offrant la possibilité aux utilisateurs de se créer un compte avec leur numéro de téléphone

De nos jours, les applications pour smartphones offrent souvent la possibilité de créer un compte en s'identifiant au moyen d'un numéro de téléphone. Une fois l'inscription effectuée, le fournisseur de l'application en question envoie un SMS contenant un code de vérification. Ce n'est qu'après avoir saisi ce code de contrôle que l'utilisateur peut accéder à l'application. Cette méthode d'inscription simple, sans mot de passe ni adresse électronique, se révèle plutôt pratique et relativement sûre, car les numéros de téléphone non valables sont rapidement repérés.

Processus d'inscription à une application pour smartphone avec un numéro de téléphone, à droite la réception du code de vérification.
Processus d'inscription à une application pour smartphone avec un numéro de téléphone, à droite la réception du code de vérification.

De nouveau, une utilisation abusive de l'identification par SMS a été signalée au NCSC. Les cybercriminels se sont inscrits de manière automatique avec plusieurs centaines de milliers de numéros de téléphone étrangers. Les SMS contenant le code de vérification ont ensuite été envoyés à ces numéros de téléphone dans différents pays vers lesquels l'envoi de SMS induit des frais supplémentaires (d'itinérance ou d'interconnexion). La forte utilisation du réseau a également pour conséquence d'augmenter les coûts. Or les fournisseurs d'application sont tenus de payer le trafic de données généré par l'identification par SMS, même si celle-ci est frauduleuse. Une partie de cet argent est ensuite reversée aux cybercriminels.

Sans mesures appropriées, ces attaques peuvent entraîner des coûts élevés pour les fournisseurs d'applications. L'augmentation – ou le gonflement – du trafic de données se nomme «trafic pumping» en anglais, «sms trafic pumping» lorsqu'il s'agit de SMS.

Recommandations pour les fournisseurs d'applications:

  • Définissez impérativement des limites quant à l'envoi de SMS, par exemple le nombre de SMS pouvant être envoyés à la suite.
  • Limitez la possibilité d'inscription aux numéros de téléphone «courants» pour l'application, par exemple aux indicatifs suisses.
  • Demandez à votre opérateur de bloquer les envois de SMS qui engendrent des frais supplémentaires.
  • Convenez avec votre opérateur d'une limite de coûts au-delà de laquelle l'envoi de SMS sera bloqué.
  • Mettez en place un système de monitoring pour surveiller l'envoi de tels SMS.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 20.12.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_50.html