Faille dans la sécurité des boîtes vocales Base

Photo : Pierre-Yves Thienpont - Le Soir

Il est possible, et assez simple, d’accéder aux boîtes vocales des clients de l’opérateur Base pour y écouter les derniers messages à l’insu de leur destinataire.

Le scandale qui a mené en Grande-Bretagne à la liquidation de News of the World, le tabloïd de Rupert Murdoch, a mis en lumière le phénomène de piratage de messageries vocales (le phreaking). L’opération, à la portée de tous, n’est pas très compliquée.

Des journalistes de Humo affirment même avoir pu entrer sur des messageries vocales de l’opérateur BASE. Nous avons essayé : et ça marche.

Il y a deux manières d’accéder à votre messagerie vocale :

– Si vous ne téléphonez pas depuis votre numéro personnel, vous devrez entrer un code de type PIN avant de pouvoir écouter vos messages. Des personnes mal intentionnées peuvent deviner certains codes classiques du type 1234, 0000, 1111 ou correspondant à votre date de naissance.

– Un autre moyen consiste à faire croire à la machine que vous appelez depuis le numéro personnel correspondant à la messagerie de la victime. En anglais, c’est ce qui s’appelle un caller ID spoofing.

Dans le cas de cette seconde solution, de nombreux systèmes de messagerie se basent sur l’appel entrant et sur le numéro associé pour l’authentification. Plus besoin alors d’entrer le moindre code à 4 chiffres.

Il est assez simple de trouver sur internet des programmes vous permettant de leurrer la machine et de vous attribuer le numéro de quelqu’un d’autre. En utilisant ce type de programme gratuit, le fraudeur peut faire apparaître le numéro de téléphone souhaité et ainsi bluffer le système de messagerie vocal.

Bien que l’opération ne réussisse pas à tous les coups, nous sommes aussi parvenus à écouter les nouveaux messages contenus sur la boîte vocale Base d’un journaliste volontaire.

« N’importe quel adolescent peut y arriver »

Dans une interview récente pour le site ZDnet, Kevin Mitnick, un ex-hacker, affirme que les chances d’entrer sur la messagerie vocale d’une personne tierce dépendent beaucoup de l’opérateur, « N’importe quel adolescent pouvant rédiger un simple script peut trouver un fournisseur VoIP qui falsifie un numéro d’identification, et cela en trente minutes. Si vous n’êtes pas versé en programmation, il vous suffit alors de recourir à un service de spoofing, et de payer pour l’utiliser. »

Florence Mums, porte-parole de Base, ne dément pas la possibilité de fraude. « Nous sommes en train d’examiner les possibilités d’adaptation de nos services, nous dit-elle. Évidemment, ça ne se fera pas du jour au lendemain, mais nous prendrons toutes les mesures nécessaires pour assurer la sécurité de nos clients. » Insistant sur le fait que l’opération ne soit pas si simple, Base tient à assurer qu’aucun cas de fraude ne s’est encore présenté. Chez Proximus, ce type de fraude est « impossible » pour leurs utilisateurs et les codes sériels sont refusés. Chez Mobistar, on conseille de « choisir un bon mot de passe ».

Pour la Federal Computer Crime Unit (FCCU), il s’agit d’une interception illégale de communication, voir d’un hacking, « un fait grave punissable par la loi », même si le cas ne s’est pas encore présenté. Sandrine Carneroli, avocate spécialisée en droit des nouvelles technologies, précise que ce genre de piratage peut s’assortir d’une amende et d’une peine de prison au pénal, d’une importante indemnisation au civil.

Chez Base, il n’est pas possible d’installer une protection de sa boîte vocale par code PIN. Les clients de l’opérateur ne peuvent donc pas se mettre à l’abri d’éventuels fraudeurs. « Nous examinons la possibilité d’installer un code PIN sur les messageries pour assurer la sécurité de nos utilisateurs », affirme-t-on chez Base.