Compte Free Mobile piraté et compte bancaire ING vidé

[Renard des ondes]

Quoi qu'il en soit, il est clair que le mail rattaché au compte Free Mobile doit être un mail sensible qui doit être soigneusement sécurisé.

MDP très très fort, très peu utilisé ailleurs sur le net, voir dédié au compte FM pour qu'il soit le plus invisible possible.

[CurtisNewton]

Oui. Mais, comment récupérer une carte SIM Free Mobile de façon anonyme, comme je le disais plus haut ?

Et je ne sais pas pour les autres opérateurs, sont-ils tout autant concernés par ce genre de choses ?

Ou seulement Free Mobile, un peu comme les boites mails @free.fr qui semblent une bonne cible (peut-être à cause de ce que tu écris là) ?

As-tu une facture avec le RIB inclus dedans ? Je n'en ai pas d'assez ancienne au final pour le vérifier...

[Renard des ondes]

[Bertho (Auteur du topic)]

Petit récap sur le mode opératoire que le pirate aurait pu suivre :

Il sait que ING a une faille : ING communique par email le numéro de compte client à l'ouverture du compte, mais aussi à tout rejet de virement. Cette information qui s'avère être confidentielle est pourtant communiquée par email. Pour réinitaliser le code secret, il faut le numéro de compte, le numéro de portable, quelques infos souvent facilement trouvables sur Internet (date de naissance, département de naissance, code postal), et pouvoir recevoir des SMS sur le portable associé au compte. En ayant accès à l'historique des emails d'un client ING, on peut donc trouver toutes les infos nécessaires, mais il faut pouvoir recevoir les SMS. Il faudrait donc arriver à pirater le numéro de portable et récupérer une carte SIM pour que la faille soit exploitable.

Il sait que Free Mobile a une faille : les factures Freebox indiquaient le RIB (au moins jusqu'au 10/04/2021), et les factures Free Mobile indiquent le numéro de client. Souvent un client Freebox a aussi son mobile chez Free Mobile. Et Free Mobile permet la réinitialisation de l'email et du mot de passe grâce à la fonction de secours (j'ai perdu mon mot de passe, je n'ai plus accès à mes emails, et mon compte est actif) en fournissant le numéro de compte client et le RIB associé au compte (information considérée donc comme confidentielle). En ayant accès à l'historique des emails d'un client Free sur 1 an, on peut donc trouver les infos nécessaires, et donc prendre le contrôle du compte. Pour le garder, il suffit de changer le RIB : le vrai propriétaire ne pourra plus utiliser la fonction de secours pour se connecter sur son compte. Et pour récupérer une nouvelle carte SIM, il faut déclarer l'ancienne comme perdue et attendre 24 avant de se présenter à une borne Free avec l'identifiant et le mot de passe, la plupart du temps pas besoin de carte d'identité. Il faudrait donc arriver à pirater l'adresse email.

Il sait que si un compte email est utilisé en IMAP, son historique peut remonter assez loin (quelques années) car il n'y a pas de mécanisme systématique de vidage des emails (contrairement au Pop). Si le propriétaire du compte email a un compte Free et un compte ING, il va pouvoir retrouver les infos nécessaires pour prendre le contrôle du portable, puis du compte bancaire.

Le pirate ne va pas essayer de pirater le compte email de quelqu'un qui a un compte ING et un portable chez Free. Mais en partant d'une adresse email dont il a récupéré les identifiants, il va essayer d'identifier si le propriétaire a un compte ING et un portable Free. Si c'est le cas, bingo : piratage du mobile, puis piratage du compte bancaire.

Il sait que régulièrement paraissent sur le dark net des fichiers contenant des comptes emails + leur mot de passe, ayant fait l'objet de fuites (systèmes hackés). Par exemple, d'après Chrome Password Security Check, mail.ovh.net en aurait fait les frais il y a quelques semaines. En se connectant sur chacun des comptes email et en scannant tous les emails (ce qui se fait en toute discrétion), il peut identifier les utilisateurs ayant un compte Free, les utilisateurs ayant un compte ING, et même croiser entre les différents comptes.

Dès qu'il a identifié un utilisateur pour lequel il a récupéré toutes les informations dont il a besoin, il peut compléter par une petite recherche Google pour les infos manquantes (date de naissance, ...). Quand c'est fait, il peut passer à l'action : piratage du compte Free Mobile, récupération de carte SIM, piratage du compte ING, ajout de nouveau bénéficiaire et virement.

Le pirate a perfectionné le sytème : script pour contrer les modifications d'adresse email sur le compte Free Mobile, en modifiant à nouveau l'adresse email et le mot de passe. Le propriétaire ne peut pas reprendre le contrôle de son compte, car il a moins de 2 minutes pour répondre à l'email de changement d'adresse email, changer de mot de passe et remplacer son IBAN. Ayant repris la main, le pirate a alors tout son temps pour agir, vu l'absence de réactivité des équipes support Free Mobile et ING, dû principalement à des processus de sécurité n'ayant pas anticipé cette situation et qui se retournent contre eux.

En tant qu'ex développeur, je ne vois rien de bien sorcier pour développer de tels outils permettant l'industrialisation du piratage pour exploiter ces failles en cascade. Aujourd'hui, le système mis en place me semble imparable, sauf actions correctrices de Free Mobile et d'ING.

Ce que j'attends de la part de Free Mobile :

1. On ne peut pas considérer que l'IBAN est une donnée confidentielle. En la mettant dans les factures Freebox, vous l'avez fait fuiter. C'est maintenant corrigé, mais il reste l'historique des emails. Comme pour un mot de passe qui a fuité, vous ne pouvez plus utiliser l'IBAN. Et vous ne pouvez pas demander à tous vos clients de changer leur IBAN pour sécuriser leur compte. Il faut donc s'appuyer sur une autre donnée. Confidentielle, elle.

2. Lorsqu'une demande de changement d'adresse email est faite en boutique Free, avec présentation de pièces d'identité, il faut empêcher tout changement de mot de passe effectué en ligne, pendant un laps de temps suffisant pour.

3. Il faut permettre le changement d'adresse email en boutique Free, même si le compte est désactivé.

4. Il faut un mécanisme de récupération de compte mobile, basé sur des données vérifiables. Dépôt de plainte + pièce d'identité par exemple ?

Le point 1 concerne tous les utilisateurs Free Mobile : votre compte Free Mobile n'est pas sécurisé actuellement ! Les points 2 à 4 concernent les utilisateurs comme moi dont le compte est piraté, et qui ne peuvent pas en reprendre le contrôle.

Ce que j'attends de la part d'ING :

1. On ne peut pas considérer que des informations disponibles sur Internet pour la moitié des internautes (date de naissance, département de naissance, code postal) sont des données confidentielles. Il faut donc s'appuyer sur au moins 1 donnée vraiment confidentielle.

2. Quand est compte a été piraté, il faut prévoir un mode de récupération d'accès au compte qui ne soit pas exclusivement basée sur une vérification par SMS. En l'état, une demande de nouveau code par courrier est contrée par le pirate qui peut faire un changement de code en ligne (avec validation par SMS), annulant alors le code envoyé par courrier.

Le point 1 concerne tous les clients ING qui sont aussi clients Free Mobile : votre compte bancaire n'est pas sécurisé actuellement.

Le point 2 concerne les clients ING dont le compte a été piraté par prise de contrôle de votre mobile. Le pirate peut en plus vous empêcher de reprendre le contrôle de votre compte bancaire. Vous n'avez alors plus moyen de savoir quelles sont les opérations qui ont lieu, et vous ne pouvez pas enclencher les procédures de récupération des fonds puisque votre compte est toujours entre les mains du pirate.

En espérant être entendu par ING et Free Mobile, qu'ils prennent conscience de la gravité de la situation, et qu'ils mettent en oeuvre des actions correctrices au plus vite.

[Bertho (Auteur du topic)]

Pour ceux qui se demandent comment trouver les infos personnelles que demande ING :

J'ai fait une recherche "X Y date de naissance", X Y étant mon Prénom Nom. Résultats dès la 1ère page :

* site Internet "societe.com", y figure mon code postal, en tant que gérant.
* site Internet "Copains d'avant", j'avais créé un compte il y a bien 15 ans, y figure ma date de naissance, affichée par défaut à l'époque.
* recherche d'images : on retrouve sur "Copains d'avant" les photos de classe de quand j'étais en primaire. Y figure ma ville de naissance supposée, dont on peut déduire le département de naissance.

Pour info, j'ai supprimé hier mon compte "Copains d'avant"... Ma date de naissance n'est donc plus visible, mais mon nom reste toujours associé aux photos de classe...

[CurtisNewton]

Bonjour,

Bon raisonnement ! Mais, sur les factures Free Mobile, il n'y a pas l'IBAN. Après, tu parles des factures Freebox. Comme je n'en reçois plus depuis des années, ni la notification de facture (fonctions indispensables, mais absente de chez Free Mobile !), la faille pourrait donc venir de là ?

Non, on dirait bien, car je viens de vérifier, et le RIB est incomplet. D'accord, il pourrait être plus incomplet de que ça...

Par contre, comme je disais plus haut, comment récupérer une SIM avec une CB au nom du pirate ?

Il lui faut la carte et le code ! Donc, si c'est un CB volée, elle sera logiquement vite mise en opposition...

Et quand il change le RIB, il doit être à son nom également. OK ! Si c'est un pirate à l'autre bout de la planète, avant que l'on puisse l'avoir, il a le temps de faire le nécessaire pour disparaitre ou même il a des faux papiers pour avoir un compte bancaire... Mais là, plus de possibilité de récupérer une SIM sur une borne ! Ou il est en France avec de faux papiers, une CB volée encore utilisable et avec un Free Center pas trop loin pour agir. Ça fait encore pas mal de choses...

Tu peux ajouter à ta liste, un nombre d'essais limité pour les tentatives de récupération de compte. Ça évite qu'un bot teste des tas de possibilité pour compléter le RIB.

En tout cas, si tu as mis dans le mille avec ta liste, ça fait quand même du boulot (automatisé ou non) et beaucoup de choses à corriger. Sans parler de mes questions rajoutées.

Conclusion: moins il y a de choses sur le Net nous concernant, mieux c'est !


PS: je ne suis et n'ai jamais été sur aucun réseau sociau et je fais très attention à ce que je donne comme informations

[Renard des ondes]

[CurtisNewton]

[Renard des ondes]

[CurtisNewton]

Cela va sans dire !

[fofomm]

Et surtout, ne jamais donner ses vrais infos personnelles (nom, date de naissance) sur les sites.

Moi, en tout cas je ne le fais jamais, et je mets systématiquement des infos bidons.

[Renard des ondes]

Je crois que le problème va plus loin que Free / Free Mobile et ING. En fait, tous ces comptes de téléphone mobile ou bancaires ont des voies de récup en cas d'oubli de l'ID ou du MDP perdus qui sont analogues à quelques détails près.

C'est simplement imprudent de laisser durablement des infos sensibles sur une boite mail, comme ça pouvait l'être de jeter à la poubelle sans les détruire des papiers contenant des infos sensibles et pouvant être exploitées comme une facture de téléphone ou un relevé bancaire.

La dématérialisation n'a rien arrangé, bien au contraire. C'est même plus accessible encore, puisque plus l'utilisation du Net s'accroit plus cela oblige à créer des comptes avec l'adresse mail comme ID et des MDP peu sécurisés et qui se répliquent ici et là.

D'ailleurs on voit bien que dans le cas de Bertho, le point de départ est une adresse mail piratée, la suite est une question d'opportunité +/- facile suivant les circonstances...

[CurtisNewton]

[Bertho (Auteur du topic)]

[Bertho (Auteur du topic)]

Je pensais avoir trouvé une solution pour désactiver définitivement mon numéro de mobile et empêcher ainsi le pirate de reprendre l'accès à mon compte ING à chaque demande de changement de code que je fais : résilier la ligne. Manque de bol, la demande de résiliation déclenche l'envoi d'un SMS qui permet de l'annuler. Le pirate peut donc contrer la résiliation.

Autre solution envisagée : la portabilité vers un autre opérateur. Malheureusement, il faut le code RIO de la carte SIM active, qui je crois ne peut s'obtenir que depuis la dite carte SIM (qui est donc détenue par le pirate). Et tout est fait (et heureusement dans un scénario classique) pour protéger le propriétaire de la ligne et lui permettre d'annuler ce genre de demandes. Malheureusement, c'est le pirate qui a la main et qui contre chacune de mes tentatives. Free regarde faire, impuissant.

J'ai vraiment l'impression d'être dans un avion, en mode pilote automatique, qui fonce dans une montagne, mais qui par mesure de sécurité empêche toute intervention manuelle. A la différence que j'ai l'impression qu'on ne va jamais se crasher, mais plutôt se perdre dans l'espace à tout jamais ! Hé ho Free, on peut activer le mode manuel ?!