Vous pensez faire tout ce qu’il faut. Vous êtes prudent en matière de sécurité. Vous avez activé l’authentification à deux facteurs sur tous vos comptes. Mais les pirates ont un moyen de contourner cela : l’échange de carte SIM (SIM swapping).
Qu’est-ce qu’une attaque par échange de carte SIM ?
Il n’y a rien de mauvais en soi dans le « SIM swapping ». Si vous perdez votre téléphone, votre opérateur procédera à un échange de carte SIM et transférera votre numéro de téléphone portable vers une nouvelle carte SIM. Il s’agit d’une tâche courante d’un service client.
Le problème est que les pirates informatiques et les organisations criminelles ont trouvé le moyen de tromper les opérateurs téléphoniques pour qu’ils procèdent à des échanges de cartes SIM. Ils peuvent alors accéder à des comptes protégés par une authentification à deux facteurs (2FA) basée sur des SMS.
Du jour au lendemain, votre numéro de téléphone est associé au téléphone de quelqu’un d’autre. Le criminel reçoit alors tous les SMS et appels téléphoniques qui vous sont destinés.
L’authentification à deux facteurs a été conçue pour répondre au problème des fuites de mots de passe. De nombreux sites ne protègent pas correctement les mots de passe. Ils utilisent le hachage et le salage pour empêcher les tiers de lire les mots de passe sous leur forme originale.
Pire encore, de nombreuses personnes réutilisent leurs mots de passe sur différents sites. Lorsqu’un site est piraté, l’attaquant dispose alors de tout ce dont il a besoin pour attaquer des comptes sur d’autres plateformes, créant ainsi un effet boule de neige.
Pour des raisons de sécurité, de nombreux services exigent que les utilisateurs fournissent un mot de passe à usage unique (OTP : one-time password) chaque fois qu’ils se connectent à un compte. Ces OTP sont générés à la volée et ne sont valables qu’une seule fois. Ils expirent également après un court laps de temps.
Pour plus de commodité, de nombreux sites envoient ces mots de passe à usage unique sur votre téléphone par SMS, ce qui comporte des propres risques. Que se passe-t-il si un pirate parvient à obtenir votre numéro de téléphone, soit en volant votre téléphone, soit en effectuant un échange de carte SIM ? Cela lui donne un accès quasi illimité à votre vie numérique, y compris à vos comptes bancaires et financiers.
Alors, comment fonctionne une attaque par échange de carte SIM ? Eh bien, elle repose sur le fait que le pirate trompe un employé de la compagnie de téléphonie pour qu’il transfère votre numéro de téléphone vers une carte SIM qu’il contrôle. Cela peut se produire soit par téléphone, soit en personne dans un magasin de téléphonie.
Pour y parvenir, le pirate doit connaître quelques informations sur sa victime. Malheureusement, les réseaux sociaux regorgent de détails biographiques susceptibles de tromper une question de sécurité. Votre première école, votre animal de compagnie, votre premier amour ou le nom de jeune fille de votre mère peuvent tous être trouvés sur vos comptes sociaux. Bien sûr, si cela échoue, il reste toujours le phishing.
Les attaques par échange de carte SIM sont complexes et prennent beaucoup de temps, ce qui les rend plus adaptées à des incursions ciblées contre un individu en particulier. Il est difficile de les mener à grande échelle. Cependant, il existe quelques exemples d’attaques par échange de carte SIM à grande échelle. Un gang criminel brésilien a réussi à échanger les cartes SIM de 5 000 victimes en relativement peu de temps.
Une arnaque de « portage » est similaire et consiste à détourner votre numéro de téléphone en le « portant » vers un nouvel opérateur mobile.
Qui est le plus à risque ?
En raison des efforts requis, les attaques par échange de carte SIM ont tendance à avoir des conséquences particulièrement spectaculaires. Le motif est presque toujours financier.
Récemment, les plateformes d’échange et les portefeuilles de cryptomonnaies ont été des cibles privilégiées. Cette popularité est renforcée par le fait que, contrairement aux services financiers traditionnels, il n’existe pas de rejet de débit avec le Bitcoin. Une fois envoyé, l’argent est perdu.
De plus, n’importe qui peut créer un portefeuille de cryptomonnaies sans avoir à s’inscrire auprès d’une banque. C’est ce qui se rapproche le plus de l’anonymat en matière d’argent, ce qui facilite le blanchiment des fonds volés.
Une victime bien connue qui l’a appris à ses dépens est l’investisseur en bitcoins Michael Tarpin, qui a perdu 1 500 bitcoins lors d’une attaque par échange de carte SIM. Cela s’est produit quelques semaines avant que le bitcoin n’atteigne sa valeur la plus élevée jamais enregistrée. À l’époque, les actifs de M. Tarpin valaient plus de 24 millions de dollars.
Lorsque le journaliste de ZDNet, Matthew Miller, a été victime d’une attaque par échange de carte SIM, le pirate a tenté d’acheter pour 25 000 dollars de bitcoins en utilisant sa banque. Heureusement, la banque a pu annuler la transaction avant que l’argent ne quitte son compte. Cependant, l’attaquant a tout de même réussi à détruire toute la vie en ligne de Miller, y compris ses comptes Google et Twitter.
Parfois, le but d’une attaque par échange de carte SIM est d’embarrasser la victime. C’est la dure leçon qu’a apprise Jack Dorsey, fondateur de Twitter et Square, le 30 août 2019. Des pirates ont piraté son compte et publié des propos racistes et antisémites sur son fil d’actualité, suivi par des millions de personnes.
Comment savoir si une attaque a eu lieu ?
Le premier signe d’un compte victime d’un échange de carte SIM est la perte totale du service de votre carte SIM actuelle. Vous ne pourrez plus recevoir ni envoyer de SMS ou d’appels, ni accéder à Internet via votre forfait de données.
Dans certains cas, votre opérateur téléphonique peut vous envoyer un SMS vous informant que l’échange est en cours, quelques instants avant de transférer votre numéro vers la nouvelle carte SIM.
Si vous avez toujours accès à votre compte de messagerie, vous pourriez également commencer à remarquer des activités inhabituelles, notamment des notifications de modifications de compte et de commandes en ligne que vous n’avez pas passées.
Comment réagir face à une attaque par échange de carte SIM ?
Lorsqu’une attaque par échange de carte SIM se produit, il est essentiel de prendre immédiatement des mesures décisives pour éviter que la situation ne s’aggrave.
Tout d’abord, appelez votre banque et vos sociétés de cartes de crédit et demandez le gel de vos comptes. Cela empêchera l’attaquant d’utiliser vos fonds pour effectuer des achats frauduleux. Étant donné que vous avez également été victime d’un vol d’identité, il est également judicieux de contacter les différentes agences d’évaluation du crédit et de demander le gel de votre crédit.
Ensuite, essayez de « prendre de l’avance » sur les pirates en transférant autant de comptes que possible vers un nouveau compte de messagerie électronique non compromis. Supprimez le lien avec votre ancien numéro de téléphone et utilisez des mots de passe forts (et entièrement nouveaux). Pour tous les comptes auxquels vous ne pouvez pas accéder à temps, contactez le service clientèle.
Enfin, vous devez contacter la police et déposer une plainte. De nombreuses polices d’assurance habitation incluent une protection contre l’usurpation d’identité. Le dépôt d’une plainte auprès de la police peut vous permettre de faire une demande d’indemnisation auprès de votre assurance et de récupérer une partie de votre argent.
Comment se protéger contre une attaque ?
Bien sûr, mieux vaut prévenir que guérir. La meilleure façon de se protéger contre les attaques par échange de carte SIM est tout simplement de ne pas utiliser la 2FA par SMS. Heureusement, il existe d’autres solutions techniques intéressantes.
Vous pouvez utiliser un programme d’authentification basé sur une application, comme Google Authenticator. Pour un niveau de sécurité supplémentaire, vous pouvez choisir d’acheter une clé d’authentification physique, comme la YubiKey ou la Google Titan Key.
Si vous devez absolument utiliser la 2FA par SMS ou par appel téléphonique, vous devriez envisager d’investir dans une carte SIM dédiée que vous n’utilisez nulle part ailleurs. Une autre option consiste à utiliser un numéro Google Voice, bien que celui-ci ne soit pas disponible dans la plupart des pays.
Malheureusement, même si vous utilisez une authentification à deux facteurs (2FA) basée sur une application ou une clé de sécurité physique, de nombreux services vous permettront de contourner ces mesures et de retrouver l’accès à votre compte via un SMS envoyé à votre numéro de téléphone. Des services tels que Google Advanced Protection offrent une sécurité plus fiable aux personnes susceptibles d’être ciblées.
À l’heure actuelle, un nombre regrettable de services, dont de nombreuses banques, n’autorisent que la 2FA par SMS ou appel vocal. Il est donc important de se préparer à une telle attaque.
