Passées À venir

Arnaque à la carte SIM : Comment se prémunir du « SIM Swap » ?

L’arnaque à la carte SIM se répand rapidement et commence à faire des milliers de victimes partout dans le monde. Quel est le mode opératoire des hackers de smartphone ? Quelles sont les mesures envisagées pour lutter contre cette nouvelle menace numérique ? Comment s’en prémunir ?
Sommaire

Le 30 août dernier, le fondateur et PDG du réseau social Twitter, Jack Dorsey, a été victime d’une arnaque à la carte SIM. Son propre compte s’est fait pirater par des hackers. Même si dans le cas présent, les conséquences du piratage n’ont pas été dramatiques, les répercussions d’une arnaque à la carte SIM peuvent être bien plus graves et potentiellement très dangereuses. En effet, cela peut aller de la désinformation au vol de données personnelles. Faisons le point ensemble sur cette nouvelle arnaque qui cible tous les possesseurs d’un smartphone et fait de plus en plus de victimes à travers le monde.

Arnaque à la carte SIM : Comment se prémunir du « SIM Swap » ?


Le mode opératoire des hackers de téléphone portable

L’arnaque à la carte SIM, également appelée « SIM Swap » en anglais (« transfert de SIM ») consiste à voler, virtuellement, la carte SIM d’une personne ciblée. En théorie, la méthode est relativement simple : il suffit pour le hacker d’usurper votre identité en se faisant passer pour vous auprès de votre opérateur de téléphonie mobile et prétendre que vous avez perdu votre carte SIM ou que votre téléphone portable a été volé. Il faut savoir qu’au préalable, ces adeptes de l’ingénierie sociale (social engineering en anglais) ont très certainement récupéré votre numéro de sécurité sociale et votre adresse pour convaincre leur interlocuteur.

Généralement, l’opérateur réagit rapidement et active une nouvelle carte SIM. À partir de ce moment, tous les appels et SMS que vous êtes censé recevoir sur votre téléphone s’afficheront sur le smartphone du hacker. Il aura également accès à tous vos comptes en ligne (boîte mail, réseaux sociaux, comptes bancaires, Amazon, eBay, Netflix, etc.). Votre téléphone sera quant à lui hors service.

L’objectif est de mettre la main sur votre ligne téléphonique et prendre possession de vos données personnelles. Ainsi, les hackers peuvent effectuer des achats sur internet et contrôler vos comptes sur les réseaux sociaux. D’ailleurs, les personnalités du monde du divertissement (cinéma, télévision, radio, etc.) et de la politique sont particulièrement visées par l’arnaque à la carte SIM.

De nos jours, nombreuses sont les personnes à stocker toutes les informations relatives à leur vie personnelle sur leur téléphone portable. Ce comportement peut avoir de graves conséquences. En effet, personne n’est à l’abri d’un piratage de smartphone et voir l’ensemble de ses données personnelles volées par un hacker. De plus, suite à ce genre de piratage, il est très difficile de convaincre les banques, les opérateurs et les différents médias sociaux que vous êtes bien la personne que vous prétendez et qu’un escroc a usurpé votre identité.

Une technique frauduleuse basée sur les failles des systèmes de sécurité

L’arnaque à la carte SIM exploite les faiblesses du système d’A2F (Authentification à double facteur). Pour rappel, ce processus de sécurité a été créé pour ajouter une couche de protection supplémentaire aux comptes en ligne, en plus des traditionnels « nom d’utilisateur » et « mot de passe », très fréquemment utilisés mais facilement piratables. Ainsi, ce système vous permet de recevoir un code sur votre smartphone, envoyé par SMS (la plupart du temps) ou via une application, pour vous connecter sur l’un de vos comptes et surtout garantir votre identité. Par exemple, certaines banques envoient automatiquement une série de chiffres unique par texto pour confirmer tout achat en ligne.

En théorie, l’authentification à double facteur est très efficace, mais malheureusement cette sécurité n’est jamais garantie à 100 %. En effet, si vous faites le choix de recevoir des codes secrets par SMS, il faut savoir que cette muraille n’est plus infranchissable. En effet, les hackers, toujours à l’affût de la moindre faille numérique, ont trouvé un moyen de contourner l’A2F en usurpant l’identité de leur cible pour dérober, virtuellement, leur carte SIM.

Concernant la mésaventure de Jack Dorsey, le réseau social Twitter a tenu à préciser que « le numéro de téléphone associé au compte a été exposé à cause d’une erreur de sécurité de l’opérateur téléphonique ». Il assure également n’avoir trouvé « aucun signe que les systèmes de Twitter aient été compromis ».

R. David Edelman, un ancien conseiller de Barack Obama à la Maison-Blanche qui dirige actuellement un centre de recherche sur la cybersécurité au MIT (Massachusetts Institute of Technology), a tenu à expliquer que « les messageries des téléphones mobiles peuvent être piratées par des moyens techniques sophistiqués, mais aussi simplement en convainquant un opérateur de migrer votre compte vers un autre, sur un téléphone non autorisé ». Puis, il a ajouté qu’il suffit de « quelques minutes de confusion pour commettre un méfait comme celui dont Dorsey a été victime ».

Le dark web est devenu une véritable mine d’or pour les cyberescrocs

Les hackers peuvent également avoir recours à d’autres méthodes pour pirater les téléphones portables. Ils n’ont pas forcément besoin d’usurper l’identité de leur cible pour piéger les opérateurs mobiles. En effet, lors de cette dernière décennie, des milliers de données privées ont été volées et mises en libre accès sur le dark web, le fameux marché noir d’internet. Par conséquent, des personnes malintentionnées peuvent obtenir en quelques clics des informations personnelles utiles permettant de piéger facilement les opérateurs.

Motherboard, l’un des sites référence de la presse tech américaine, explique que les comptes de réseaux sociaux représentent une valeur marchande non négligeable sur le dark web et peut atteindre plusieurs dizaines de milliers de dollars ou de bitcoins.

De nombreux experts de la cybersécurité s’accordent à dire que l’arnaque à la carte SIM et l’usurpation d’identité, notamment celles de certaines personnalités politiques, pourraient avoir de très graves conséquences sur le monde. Par exemple, Joseph Lorenzo Hall, technologue en chef au Center for Democracy & Technology à Washington, est persuadé qu’un faux tweet d’un président risquerait de provoquer un krach boursier ou pire encore.



Les mesures envisagées pour faire face à cette nouvelle menace numérique

À ce jour, l’arnaque à la carte SIM est encore méconnue et n’est pas aussi courante que des cyberattaques comme l’hameçonnage (phishing en anglais) ou le rançongiciel (ransomware en anglais). Mais depuis un an environ, elle s’est considérablement développée.

Les opérateurs de téléphonie mobile avaient tendance à négliger cette menace numérique, mais suite au nombre croissant de victimes dans le monde, ils ont commencé à prendre des mesures. Par exemple, aux États-Unis, T-mobile, AT&T et Verizon offrent à leurs clients la possibilité d’ajouter un mot de passe à leur compte pour effectuer toutes les modifications importantes. Les banques commencent elles aussi à prendre des mesures de sécurité supplémentaires.

Concernant les opérateurs français, il est assez difficile de savoir ce qu’ils comptent faire, car ils communiquent très peu sur le sujet. En 2018, certains clients de SFR se sont plaints d’avoir été victimes de fraude bancaire survenue à la suite d'une arnaque à la carte SIM. Il y a donc de fortes chances pour que les opérateurs télécoms de l’Hexagone fassent le nécessaire pour garantir la protection de leurs clients.

De nombreux espoirs sont fondés sur l’entrée en vigueur de la DSP2 (Directive européenne sur les services de paiement 2e version). Celle-ci a pour objectif de durcir les méthodes permettant de valider un paiement en ligne. Dès lors, l’internaute ne devra plus se contenter de recevoir un simple SMS de validation, mais il sera dans l’obligation de fournir des informations que lui seul connaît (mot de passe, code confidentiel, information personnelle, etc.) ou une « caractéristique biométrique » (reconnaissance digitale ou faciale).

Un autre plan de bataille se profile également. Selon BFM Business, les opérateurs seraient actuellement en train de développer des systèmes d’intelligence artificielle afin de lutter contre l’arnaque à la carte SIM. Ces derniers auront pour mission de différencier les transferts de carte SIM légitimes (dus au vol ou à la perte d’un téléphone par exemple) des fraudes.

Les conseils pour se prémunir contre le SIM Swap

En attendant que des mesures efficaces soient mises en oeuvre, il est nécessaire de rester vigilant et d’oublier les codes par SMS. Le 12 avril 2019, suite à une recrudescence d’attaques par SIM Swap, la société Kaspersky - multinationale spécialisée dans la cybersécurité - recommandait aux utilisateurs brésiliens et mozambicains de ne plus utiliser l’authentification à deux facteurs par texto.

Selon les experts de la sécurité, il est fortement conseillé de télécharger un authenticator sur votre smartphone, tels que Microsoft Authenticator ou Google Authenticator, qui fait office de coffre-fort pour tous les comptes en ligne disposant de l’A2F.

N’hésitez pas à demander à votre opérateur mobile s’il est possible d’utiliser un mot de passe supplémentaire pour tout échange de carte SIM.

Veillez aussi à supprimer votre numéro de téléphone de tout compte susceptible d’intéresser les hackers. Si vous avez besoin de fournir un numéro de téléphone, le site Motherboard vous conseille d’opter pour un numéro VoIP (Voice Over Internet Protocol) comme un numéro Google Voice par exemple.

Évitez de laisser des informations personnelles ou des scans de vos documents d’identité sur les sites internet (nom, prénom, date de naissance, etc.), sur votre smartphone ou votre ordinateur. Ainsi, les hackers pourront difficilement utiliser le social engineering pour récupérer vos informations et piéger les télécoms.

Pour protéger vos données des regards indiscrets et des attaques malveillantes, assurez-vous d’utiliser, le plus possible, un pare-feu (firewall en anglais) et des logiciels antivirus sur votre ordinateur ou sur votre smartphone. Évitez de surfer sur des sites douteux et de télécharger des fichiers suspects. De même qu’il est fortement déconseillé de se connecter via un hotspot WiFi public, car ce point d’accès n’est pas sécurisé et de nombreux logiciels malveillants (malwares en anglais) circulent.

Enfin, il est primordial de rester sur ses gardes et de ne pas croire que ce genre d’arnaque n’arrive qu’aux autres. Personne n’est à l’abri de se faire pirater son ordinateur ou son smartphone. Si le message « carte SIM désactivée ou absente » apparaît, ou si votre téléphone se met brusquement sur le mode « appels d’urgence uniquement », soyez attentif. Dans le cas où vous avez le moindre doute, n’hésitez pas à contacter votre opérateur mobile ou à vous rendre directement en boutique pour prouver votre identité et agir le plus rapidement possible.