Interception d'OTP mobile
Qu'est-ce que Interception d'OTP mobile ?
Interception d'OTP mobileAttaques qui capturent les mots de passe a usage unique livres sur un telephone, sapant l'authentification a deux facteurs par SMS ou par app.
Les OTP livres par SMS, voix ou push sont intercepts par plusieurs voies : abus de signalisation SS7/Diameter qui redirige les SMS vers des equipements de l'attaquant, SIM swapping pour cloner le numero de la victime, trojans bancaires Android qui lisent SMS ou ecran via l'accessibilite, listeners de notifications malveillants sur un telephone compromis, et services de relais d'OTP comme les bots Telegram utilises par des bandes de fraude. Defenses : passer du SMS-OTP a une authentification resistante au phishing (cles FIDO2, passkeys, authentificateurs de plateforme), exiger un port-out lock chez l'operateur, restreindre l'accessibilite sous Android et detecter les anomalies de velocite et de liaison d'appareil cote application.
● Exemples
- 01
Des chercheurs ont documente des attaques SS7 qui detournaient des OTP bancaires SMS vers les numeros des attaquants et vidaient des comptes en Allemagne.
- 02
Un trojan Android avec accessibilite lit les notifications d'OTP par SMS et les relaie en temps reel via Telegram.
● Questions fréquentes
Qu'est-ce que Interception d'OTP mobile ?
Attaques qui capturent les mots de passe a usage unique livres sur un telephone, sapant l'authentification a deux facteurs par SMS ou par app. Cette notion relève de la catégorie Sécurité mobile en cybersécurité.
Que signifie Interception d'OTP mobile ?
Attaques qui capturent les mots de passe a usage unique livres sur un telephone, sapant l'authentification a deux facteurs par SMS ou par app.
Comment fonctionne Interception d'OTP mobile ?
Les OTP livres par SMS, voix ou push sont intercepts par plusieurs voies : abus de signalisation SS7/Diameter qui redirige les SMS vers des equipements de l'attaquant, SIM swapping pour cloner le numero de la victime, trojans bancaires Android qui lisent SMS ou ecran via l'accessibilite, listeners de notifications malveillants sur un telephone compromis, et services de relais d'OTP comme les bots Telegram utilises par des bandes de fraude. Defenses : passer du SMS-OTP a une authentification resistante au phishing (cles FIDO2, passkeys, authentificateurs de plateforme), exiger un port-out lock chez l'operateur, restreindre l'accessibilite sous Android et detecter les anomalies de velocite et de liaison d'appareil cote application.
Comment se défendre contre Interception d'OTP mobile ?
Les défenses contre Interception d'OTP mobile combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Interception d'OTP mobile ?
Noms alternatifs courants : Interception d'OTP, Contournement de 2FA mobile.
● Termes liés
- attacks№ 1047
Echange de carte SIM (SIM swapping)
Technique de fraude par laquelle un attaquant trompe ou corrompt un operateur mobile pour faire transferer le numero de la victime vers une SIM qu'il controle.
- attacks№ 1059
Smishing
Hameçonnage diffusé par SMS ou autres canaux de messagerie mobile pour pousser la victime à cliquer sur des liens malveillants, appeler un numéro frauduleux ou divulguer des données.
- mobile-security№ 047
Logiciels malveillants Android
Logiciels malveillants ciblant le systeme Android, distribues le plus souvent via APK sideloades, droppers sur Google Play ou boutiques tierces compromises.
- identity-access№ 1155
Mot de passe à usage unique basé sur le temps (TOTP)
Algorithme de mot de passe à usage unique défini par la RFC 6238 qui dérive un code court d'un secret partagé et de l'heure courante, renouvelé toutes les 30 secondes.
- identity-access№ 479
Mot de passe à usage unique basé sur HMAC (HOTP)
Algorithme d'OTP basé sur les événements défini par la RFC 4226 qui dérive un code court d'un secret partagé et d'un compteur croissant.
- attacks№ 821
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.