Vous croyez adopter toutes les mesures de sécurité nécessaires ? Vous pensez être prudent et avoir activé l’authentification à deux facteurs (2FA) sur tous vos comptes ? Détrompez-vous, les cybercriminels ont trouvé une nouvelle méthode pour contourner cette protection : l’échange de carte SIM.
Cette technique d’attaque est redoutable et peut avoir des conséquences graves pour les victimes. Heureusement, il existe des moyens de se prémunir. Voici comment fonctionne cette escroquerie et comment vous pouvez vous en protéger.
Qu’est-ce qu’une attaque par substitution de carte SIM ?
En soi, l’échange de carte SIM n’est pas une pratique malveillante. Si vous perdez votre téléphone, votre opérateur téléphonique peut transférer votre numéro vers une nouvelle carte SIM. C’est une procédure de routine du service client.
Le problème survient lorsque les pirates et les organisations criminelles exploitent cette procédure pour tromper les opérateurs téléphoniques et obtenir un échange de carte SIM. Ils peuvent alors accéder aux comptes protégés par une 2FA envoyée par SMS.
Votre numéro de téléphone est soudainement lié au téléphone d’une autre personne. L’escroc reçoit ainsi tous vos messages et appels.
L’authentification à deux facteurs a été conçue pour contrer les problèmes de fuite de mots de passe. De nombreux sites ne sécurisent pas correctement les mots de passe, utilisant le hachage et le salage pour les protéger.
De plus, beaucoup de personnes utilisent le même mot de passe sur plusieurs plateformes. Quand un site est piraté, l’attaquant a les informations nécessaires pour compromettre d’autres comptes, créant un effet boule de neige.
Pour des raisons de sécurité, de nombreux services exigent un mot de passe à usage unique (OTP) à chaque connexion. Ces OTP sont générés en temps réel et ne sont valides qu’une seule fois, expirant rapidement.
Pour plus de commodité, ces codes sont souvent envoyés par SMS, ce qui comporte ses propres risques. Si un attaquant obtient votre numéro de téléphone, il peut avoir un accès quasi illimité à votre vie numérique, y compris vos comptes bancaires.
Comment fonctionne une attaque par échange de carte SIM ? L’attaquant doit convaincre un employé d’opérateur téléphonique de transférer votre numéro sur une carte SIM qu’il contrôle. Cela peut se faire par téléphone ou en personne.
Pour cela, l’attaquant doit rassembler des informations sur la victime. Les réseaux sociaux sont une mine d’informations personnelles qui peuvent servir à tromper un agent de sécurité. Votre première école, le nom de votre animal de compagnie ou de jeune fille de votre mère sont souvent disponibles sur vos réseaux. En cas d’échec, l’hameçonnage reste une option.
Ces attaques ciblées demandent du temps et de l’organisation, ce qui les rend difficiles à réaliser à grande échelle. Cependant, certains cas d’attaques massives ont été recensés. Un gang brésilien a réussi à échanger les cartes SIM de 5000 victimes en peu de temps.
Une escroquerie similaire, dite de « portabilité sortante », consiste à transférer votre numéro vers un autre opérateur.
Qui est le plus vulnérable ?
En raison des efforts qu’elles demandent, les attaques par échange de carte SIM sont souvent spectaculaires. Le motif est presque toujours financier.
Les plateformes d’échange et les portefeuilles de cryptomonnaies sont des cibles privilégiées. L’absence de rétrofacturation rend les cryptomonnaies particulièrement vulnérables. Une fois les fonds transférés, il est impossible de les récupérer.
De plus, il est facile de créer un portefeuille de cryptomonnaies sans passer par une banque. Cette relative anonymat facilite le blanchiment de fonds volés.
L’investisseur Bitcoin Michael Tarpin a perdu 1500 pièces lors d’une attaque par échange de carte SIM. Cela s’est produit juste avant que la valeur du Bitcoin n’atteigne son niveau record. Ses actifs valaient alors plus de 24 millions de dollars.
Le journaliste de ZDNet, Matthew Miller, a également été victime d’une attaque. L’attaquant a tenté d’acheter 25 000 dollars de Bitcoin. Heureusement, sa banque a annulé la transaction. Cependant, l’attaquant a réussi à détruire la vie numérique de Miller, notamment ses comptes Google et Twitter.
Parfois, l’attaque a pour but d’humilier la victime. Le fondateur de Twitter et Square, Jack Dorsey, en a fait l’amère expérience en 2019. Des pirates ont piraté son compte et publié des propos racistes et antisémites devant des millions de personnes.
Comment savoir si l’on est victime d’une attaque ?
Le premier signe d’un échange de carte SIM est la perte de service. Vous ne pouvez plus envoyer ou recevoir de messages, passer des appels ni accéder à internet via votre forfait de données.
Dans certains cas, votre opérateur vous envoie un SMS vous informant de la tentative d’échange, juste avant le transfert de votre numéro. Voici ce qui est arrivé à Miller :
« Le lundi 10 juin à 23h30, ma fille aînée m’a réveillé en me disant que mon compte Twitter semblait piraté. La situation était en fait bien plus grave. »
« Après m’être levé, j’ai pris mon iPhone et j’ai vu un SMS : « Alerte T-Mobile : La carte SIM du numéro xxx-xxx-xxxx a été changée. Si vous n’avez pas autorisé cette modification, appelez le 611. » »
Si vous avez encore accès à votre boite mail, vous remarquerez des activités inhabituelles, comme des notifications de modifications de comptes ou des commandes en ligne que vous n’avez pas passées.
Comment réagir en cas d’attaque ?
Lors d’une attaque par échange de carte SIM, il est crucial de réagir rapidement pour éviter que la situation n’empire.
Commencez par contacter votre banque et vos sociétés de cartes de crédit pour bloquer vos comptes. Cela empêchera l’attaquant d’utiliser vos fonds de manière frauduleuse. Étant donné que vous êtes victime d’une usurpation d’identité, demandez également un gel de votre crédit aux agences de notation.
Essayez de « prendre de vitesse » les attaquants en transférant autant de comptes que possible vers une nouvelle adresse mail non compromise. Dissociez votre ancien numéro de téléphone et utilisez des mots de passe complexes et inédits. Contactez le service client pour tous les comptes que vous ne pouvez pas modifier à temps.
Enfin, signalez le crime à la police. Vous êtes une victime, et de nombreuses polices d’assurance habitation couvrent le vol d’identité. Le dépôt d’une plainte peut vous permettre de déposer une demande d’indemnisation auprès de votre assurance.
Comment se protéger contre les attaques par échange de carte SIM ?
Mieux vaut prévenir que guérir. La meilleure protection contre les attaques par échange de carte SIM est d’éviter l’authentification 2FA par SMS. Heureusement, il existe des alternatives plus sûres.
Vous pouvez utiliser une application d’authentification, comme Google Authenticator. Pour une sécurité renforcée, vous pouvez choisir un jeton physique, comme la YubiKey ou la clé Google Titan.
Si vous devez absolument utiliser la 2FA par SMS ou appel, envisagez une carte SIM dédiée que vous n’utilisez nulle part ailleurs. Vous pouvez également utiliser un numéro Google Voice, même s’il n’est pas disponible dans tous les pays.
Malgré l’utilisation d’une authentification par application ou clé physique, certains services permettent de contourner ces protections et de récupérer l’accès au compte via un message SMS envoyé à votre numéro de téléphone. Des services comme Google Advanced Protection offrent une sécurité renforcée pour les personnes à risque, telles que les journalistes, les militants, les chefs d’entreprise ou les équipes de campagne politique.