Vous pensez que vous faites tous les bons gestes. Vous êtes intelligent avec votre sécurité. L’authentification à deux facteurs est activée sur tous vos comptes. Mais les pirates ont un moyen de contourner cela: l’échange de cartes SIM.
C’est une méthode d’attaque dévastatrice aux conséquences désastreuses pour ceux qui en sont victimes. Heureusement, il existe des moyens de se protéger. Voici comment cela fonctionne et ce que vous pouvez faire.
Table des matières
Qu’est-ce qu’une attaque SIM-Swap?
Il n’y a rien de mal en soi à « Permuter SIM ». Si jamais vous perdez votre téléphone, votre opérateur effectuera un échange de carte SIM et déplacera votre numéro de téléphone portable vers une nouvelle carte SIM. C’est une tâche de service à la clientèle de routine.
Le problème est que les pirates et les criminels organisés ont trouvé comment tromper les compagnies de téléphone pour qu’elles effectuent des échanges de cartes SIM. Ils peuvent ensuite accéder aux comptes protégés par l’authentification à deux facteurs par SMS (2FA).
Soudainement, votre numéro de téléphone est associé au téléphone de quelqu’un d’autre. Le criminel reçoit alors tous les SMS et appels téléphoniques qui vous sont destinés.
L’authentification à deux facteurs a été conçue en réponse au problème des fuites de mots de passe. De nombreux sites ne parviennent pas à protéger correctement les mots de passe. Ils utilisent le hachage et le salage pour empêcher les mots de passe d’être lus dans leur forme d’origine par des tiers.
Pire encore, de nombreuses personnes réutilisent les mots de passe sur différents sites. Lorsqu’un site est piraté, un attaquant a désormais tout ce dont il a besoin pour attaquer des comptes sur d’autres plates-formes, créant un effet boule de neige.
Pour des raisons de sécurité, de nombreux services exigent que les utilisateurs fournissent un mot de passe à usage unique (OTP) à chaque fois qu’ils se connectent à un compte. Ces OTP sont générés à la volée et ne sont valables qu’une seule fois. Ils expirent également après un court laps de temps.
Pour plus de commodité, de nombreux sites envoient ces OTP à votre téléphone dans un message texte, ce qui comporte ses propres risques. Que se passe-t-il si un attaquant peut obtenir votre numéro de téléphone, soit en volant votre téléphone, soit en effectuant un échange de carte SIM? Cela donne à cette personne un accès quasi illimité à votre vie numérique, y compris à vos comptes bancaires et financiers.
Alors, comment fonctionne une attaque par échange de carte SIM? Eh bien, cela dépend de l’attaquant qui incite un employé de la compagnie de téléphone à transférer votre numéro de téléphone sur une carte SIM qu’il contrôle. Cela peut se produire soit par téléphone, soit en personne dans un magasin de téléphonie.
Pour ce faire, l’attaquant doit en savoir un peu plus sur la victime. Heureusement, les réseaux sociaux regorgent de détails biographiques susceptibles de tromper une question de sécurité. Votre première école, animal de compagnie ou amour, et le nom de jeune fille de votre mère se trouvent probablement sur vos comptes sociaux. Bien sûr, si cela échoue, il y a toujours du phishing.
Les attaques par échange de carte SIM sont impliquées et prennent du temps, ce qui les rend mieux adaptées aux incursions ciblées contre un individu particulier. Il est difficile de les réaliser à grande échelle. Cependant, il y a eu quelques exemples d’attaques généralisées par échange de cartes SIM. Un gang du crime organisé brésilien était capable d’échanger des cartes SIM 5000 victimes sur une période de temps relativement courte.
Une escroquerie de «port-out» est similaire et implique le détournement de votre numéro de téléphone en le «portant» vers un nouvel opérateur de téléphonie mobile.
Qui est le plus à risque?
En raison de l’effort requis, les attaques par échange de carte SIM ont tendance à avoir des résultats particulièrement spectaculaires. Le motif est presque toujours financier.
Récemment, les échanges et les portefeuilles de crypto-monnaie ont été des cibles populaires. Cette popularité est aggravée par le fait que, contrairement aux services financiers traditionnels, il n’existe pas de rétrofacturation avec Bitcoin. Une fois envoyé, il est parti.
De plus, n’importe qui peut créer un portefeuille de crypto-monnaie sans avoir à s’inscrire auprès d’une banque. C’est le plus proche de l’anonymat en matière d’argent, ce qui facilite le blanchiment de fonds volés.
Une victime bien connue qui a appris cela à la dure est Investisseur Bitcoin, Michael Tarpin, qui a perdu 1500 pièces lors d’une attaque par échange de carte SIM. Cela s’est produit quelques semaines à peine avant que Bitcoin n’atteigne sa valeur la plus élevée de tous les temps. À l’époque, les actifs de Tarpin valaient plus de 24 millions de dollars.
Lorsque le journaliste de ZDNet, Matthew Miller, a été victime d’une attaque par échange de carte SIM, le pirate informatique a tenté d’acheter pour 25000 dollars de Bitcoin en utilisant sa banque. Heureusement, la banque a pu annuler les frais avant que l’argent ne quitte son compte. Cependant, l’attaquant était toujours en mesure de détruire toute la vie en ligne de Miller, y compris ses comptes Google et Twitter.
Parfois, le but d’une attaque par échange de carte SIM est d’embarrasser la victime. Cette cruelle leçon a été apprise par le fondateur de Twitter et de Square, Jack Dorsey, le 30 août 2019. Hackers a détourné son compte et a publié des épithètes racistes et antisémites dans son fil d’actualité, qui est suivi par des millions de personnes.
Comment savez-vous qu’une attaque a eu lieu?
Le premier signe d’un compte d’échange de carte SIM est que la carte SIM perd tout service. Vous ne pourrez pas recevoir ou envoyer de SMS ou d’appels, ni accéder à Internet via votre forfait de données.
Dans certains cas, votre opérateur téléphonique peut vous envoyer un SMS vous informant que l’échange est en cours, quelques instants avant de transférer votre numéro sur la nouvelle carte SIM. Voici ce qui est arrivé à Miller:
«À 23h30 le lundi 10 juin, ma fille aînée m’a secoué l’épaule pour me réveiller d’un sommeil profond. Elle a dit qu’il semblait que mon compte Twitter avait été piraté. Il s’avère que les choses étaient bien pires que ça.
Après être sorti du lit, j’ai pris mon Apple iPhone XS et j’ai vu un message texte qui disait: «Alerte T-Mobile: La carte SIM pour xxx-xxx-xxxx a été changée. Si ce changement n’est pas autorisé, appelez le 611. ‘»
Si vous avez toujours accès à votre compte de messagerie, vous pouvez également commencer à voir une activité étrange, y compris des notifications de modifications de compte et des commandes en ligne que vous n’avez pas passées.
Comment devez-vous réagir?
Lorsqu’une attaque par échange de carte SIM se produit, il est essentiel que vous preniez des mesures immédiates et décisives pour éviter que la situation ne s’aggrave.
Tout d’abord, appelez votre banque et les sociétés de cartes de crédit et demandez un gel de vos comptes. Cela empêchera l’attaquant d’utiliser vos fonds pour des achats frauduleux. Puisque vous avez également été effectivement victime d’usurpation d’identité, il est également judicieux de contacter les différents bureaux de crédit et de demander un gel de votre crédit.
Ensuite, essayez de « devancer » les attaquants en déplaçant autant de comptes que possible vers un nouveau compte de messagerie non contaminé. Dissociez votre ancien numéro de téléphone et utilisez des mots de passe forts (et complètement nouveaux). Pour tous les comptes que vous ne pouvez pas atteindre à temps, contactez le service client.
Enfin, vous devez contacter la police et déposer un rapport. Je ne peux pas le dire assez: vous êtes victime d’un crime. De nombreuses polices d’assurance habitation incluent une protection contre le vol d’identité. Le dépôt d’un rapport de police peut vous permettre de déposer une réclamation contre votre police et de récupérer de l’argent.
Comment vous protéger d’une attaque
Bien sûr, mieux vaut prévenir que guérir. Le meilleur moyen de se protéger contre les attaques par échange de carte SIM est de ne pas utiliser le 2FA basé sur SMS. Heureusement, il existe des alternatives convaincantes.
Vous pouvez utiliser un programme d’authentification basé sur une application, tel que Google Authenticator. Pour un autre niveau de sécurité, vous pouvez choisir d’acheter un jeton d’authentification physique, comme la YubiKey ou la clé Google Titan.
Si vous devez absolument utiliser la 2FA par SMS ou par appel, vous devriez envisager d’investir dans une carte SIM dédiée que vous n’utilisez nulle part ailleurs. Une autre option consiste à utiliser un numéro Google Voice, bien qu’il ne soit pas disponible dans la plupart des pays.
Malheureusement, même si vous utilisez la 2FA basée sur une application ou une clé de sécurité physique, de nombreux services vous permettront de les contourner et de retrouver l’accès à votre compte via un message texte envoyé à votre numéro de téléphone. Des services tels que Google Advanced Protection offrent une sécurité à toute épreuve pour les personnes qui risquent d’être ciblées, «comme les journalistes, les militants, les chefs d’entreprise et les équipes de campagne politique».