Bouygues Télécom et l absence totale de sécurité!!!

Aujourd'hui, je reçois un SMS de Bouygues Télécom me disant que ma modification de forfait va etre effective le 22/10. Problème: je n'ai jamais demandé à changer de forfait!!! Vue que c est la deuxieme fois qu'une telle chose se produit, je vois donc 2 possibilités:

  1. soit BT a un probleme interne... au détriment de ses clients >: (mais ca ils ne veulent pas le reconnaître)
  2. soit je me suis fait pirater mon compte.

J'ai parlé de la possibilité 2 avec mon interlocutrice du service client, et je lui ai demandé si il n'y a pas moyen d'empêcher la modification de forfait par internet. La seule possibilité qu'elle m'ait donnée est de changer le mot de passe d'accès a mon compte.. Je lui fais remarquer qu'un code de 4 chiffres, c est nul comme protection, et que je peux faire un programme pour essayer de rentrer dans les comptes, ce a quoi elle m'a repondu "Mais vous vous rendez compte de la probabilité de rentrer?". Oui, 1 chance sur 10000. Ce qui est énorme!

Et pour démontrer que c est tres facile a faire, je l'ai fait... Explications!

Tout le monde connait Bouygues Télécom, le fournisseur d'abonnements pour téléphones mobiles. Il est possible de se connecter sur leur site web pour obtenir des informations sur sa consommation, changer de forfaits, realiser des operations administratives, etc...

Comment cela se passe?

Pour accéder à son compte, il faut entrer son numéro de téléphone, ainsi qu'un code "secret" de ... 4 chiffres (le code 0000 est invalide). Autrement dit... quand on entre un code au hasard, on a 1 chances sur 9999 d'avoir bon. Ca a l'air gros comme ca, mais c est ridiculement petit! En effet, Bouygues Télécom revendique presque 10 millions de clients, ce qui veut dire que si on prend un code au pif (par exemple 2006), on a statistiquement accès à 1000 comptes... A condition de tester tous les comptes bien sûr, ce qui peut prendre beaucoup de temps...

Vivre dans son temps

C est sûrement ce qu'ils ont dû se dire les gars de chez BT!!! Sauf que on vit une époque formidable, ou un programme peut réaliser répétitivement des actions, sans jamais se lasser! J'ai donc fait un tel programme.

Tout d'abord, il me faut créer des numeros Bouygues Télécom. Je me renseigne et voit que les numéros Bouygues commencent par 06 60, 06 61, 06 62, 06 63, 06 64, 06 65, 06 66, 06 67, 06 68, 06 98, 06 99 (sauf en cas de portabilité de numéro). Je génére donc un programme (en Perl) qui me "crée" 10000 numéros Bouygues potentiels:

#!/usr/bin/perl

use Data::Dumper;

my @prefix = ( '0660','0661','0662','0663','0664','0665','0666','0667','0668','0698','0699'); 
my %numbers;

while( scalar(keys ( %numbers ) ) != 10000 )
{
	my $random_prefix = $prefix[int(rand(scalar(@prefix)))];
	my $random_suffix = int(rand(1000000));
	$numbers { sprintf("%04d%06d", $random_prefix, $random_suffix) } = 0;
}

foreach my $number (keys %numbers)
{
	print "$number\n";
}

Et voila, ce programme crache 10000 numeros bouygues potentiels. Couplé a un programme (que je ne livre pas :)), on peut donc essayer de se connecter au compte correspondant à ces numéros avec le code 2006. Et ben ca se passe plutôt pas mal: 0.66% des numéros testés ont 2006 comme code d'entrée!

Analyse

Déjà, analysons les 0.66%: en effet, on devrait obtenir 0.01% (1 sur 9999), mais:

  • d'un coté, 2006 est à la fois une année et aussi une date (20 Juin)... On peut penser que des gens l'ont donc choisi par facilité de remémoration. Ce qui augmente la probabilité de choix de 2006 comme code.
  • d'un autre coté, il y a certainement des numéros bouygues non valides (ie sans abonnement) dans ma liste, ce qui diminue artificellement la probabilité que je calcule.

Après du coté du fait que je peux capter ces numéros: Ben déjà avec 1 chance sur 9999, c est complétement ridicule d esperer avoir une quelconque notion de sécurité derrière, vu qu'un robot peut tenter de rentrer facilement. BT fait qu'apres 3 essais infructueux, le compte est bloqué. Mais les utilisateurs ont la capacité de recevoir une facture éléctronique chaque mois, et pour y acceder, il faut se connecter, ce qui remet à 0 le nombre d essais infructueux. Ce qui veut dire que l'on peut faire 2 essais chaque mois sur chaque numéro, et esperer pouvoir recommencer sans qu'on s'en appercoive. Ca doit bloquer des comptes bien sûr... mais pas forcement tant que ca!

Le business model

Bon c est bien gentil de pouvoir rentrer dans des comptes, mais ca sert à quoi/qui?

La page Bouygues Télécom permet d'envoyer des SMS. Il suffit d'ouvrir un numéro surtaxé (par exemple, on prend 3 € pour chaque SMS que quelqu'un envoie a ce numéro), entrer dans des comptes et leur faire envoyer des SMS au dit numéro. Et on gagne des euros à chaque fois! Croyez moi, c est extrêmement simple à faire, et je suis persuadé que c est déja fait (j'ai déjà écrit les programmes me permettant de le faire, il ne me manque plus que le numéro surtaxé...)... Mais qui va se plaindre pour 2 euros? En plus il faut prouver que ce n'est pas soit meme qui a envoyé le numéro, et Bouygues se montre extrement peu consciliant quand il faut prouver sa bonne foi... quand je leur demande l'IP a partir de laquelle je me suis connecté, on dirait que je demande la lune alors que cette information m'est essentielle pour prouver qu'il y a eu usurpation d'identité!

Ce que vous pouvez faire

Il faut bien voir qu'avec un tel système, la sécurité de votre compte sera toujours faible. Mais on peut essayer de l'améliorer. Vous pouvez:

  • ne pas prendre de code representant une date: evitez JJMM ou MMJJ... ou quelque chose qui peut s'interpreter comme tel: ca diminue la probabilité que votre code soit le code de quelqu'un donc ca doit diminuer les attaques sur ce code.
  • changez votre code tous les mois!

J'espere aussi que ce billet se répendra sur le net afin d'attirer l'attention de Bouygues... Passer de 4 à 6 chiffres, ca sera deja pas mal pour empecher ca! Et montrer un petit historique des IPs a partir de laquelle quelqu'un accède à son compte, ca serait bien aussi (par exemple, sur les 15 derniers jours...). N'hésitez donc pas à faire suivre ce billet à vos amis, et connaissances: plus de gens le connaitront, plus Bouygues Télécom sera obligé d'agir!

Et dans le cas ou vous vous êtes fait piraté votre compte.. Bon courage. Dès que vous recevez un SMS de changement de forfait non desiré, appellez le 1064 (service client Bouygues) et dites que soit ils ont un probleme en interne avec leur informatique, soit ils sont laches sur la sécurité. A force, ca devra remonter. N'hésitez pas à éplucher votre facture, et meme pour un SMS non envoyé, appellez aussi le 1064 et raconter leur que c est possible de rentrer! Pour les plus extremistes, je pense qu'il doit etre possible de porter plainte pour usurpation d'identité, et demander alors a Bouygues Télécom de prouver que c est bien vous qui avait validé les actions qui vous sont imputés sur le site bouyguestelecom.fr. Je suis preneur de tout commentaire rapportant des faits similaires avec les actions entreprises!

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Add ping

URL de rétrolien : http://fcohen.fr/syberag/index.php?trackback/45

Haut de page