Passées À venir

Arnaque à la carte SIM : Comment se prémunir du « SIM Swap » ?

L’arnaque à la carte SIM fait des milliers de victimes partout dans le monde. Quel est le mode opératoire des hackers de smartphone ? Quelles sont les mesures envisagées pour lutter contre cette nouvelle menace numérique ? Comment s’en prémunir ? Explications.
Sommaire

Le 30 août 2019, le fondateur et PDG du réseau social Twitter, Jack Dorsey, a été victime d’une arnaque à la carte SIM. Son propre compte s’est fait pirater par des hackers. Même si dans le cas présent, les conséquences du piratage n’ont pas été dramatiques, les répercussions d’une arnaque à la carte SIM peuvent être bien plus graves et potentiellement dangereuses. Le point sur cette arnaque.

Arnaque à la carte SIM : Comment se prémunir du « SIM Swap » ?



Le mode opératoire des hackers de téléphone portable

L’arnaque à la carte SIM, également appelée « SIM Swap » en anglais (« transfert de SIM ») consiste à voler virtuellement la carte SIM d’une personne ciblée. En théorie, la méthode est relativement simple : il suffit pour le hacker d’usurper votre identité en se faisant passer pour vous auprès de votre opérateur de téléphonie mobile et prétendre que vous avez perdu votre carte SIM ou que votre téléphone portable a été volé. Il faut savoir qu’au préalable, ces adeptes de l’ingénierie sociale ont très certainement récupéré votre numéro de sécurité sociale et votre adresse pour convaincre leur interlocuteur.

Généralement, l’opérateur réagit rapidement et active une nouvelle carte SIM. À partir de ce moment, le hacker aura accès à tous :

  • les appels et SMS que vous êtes censé recevoir sur votre téléphone
  • vos comptes en ligne (boîte mail, réseaux sociaux, comptes bancaires, Amazon, eBay, Netflix, etc.)

Votre téléphone sera quant à lui hors service.

L’objectif est de mettre la main sur votre ligne téléphonique et prendre possession de vos données personnelles. Ainsi, les malfrats peuvent effectuer des achats sur internet et contrôler vos comptes sur les réseaux sociaux. D’ailleurs, les personnalités du monde du divertissement (cinéma, télévision, radio, etc.) et de la politique sont particulièrement visées par l’arnaque à la carte SIM.

De nos jours, nombreuses sont les personnes à stocker toutes les informations relatives à leur vie personnelle sur leur téléphone portable. Ce comportement peut avoir de graves répercussions. En effet, il est souvent très difficile de convaincre les banques, les opérateurs et les différents médias sociaux que vous êtes bien la personne que vous prétendez et qu’un escroc a usurpé votre identité.

Une technique frauduleuse basée sur les failles des systèmes de sécurité

Les escrocs exploitent les faiblesses du système d’A2F (Authentification à double facteur). Ce processus de sécurité a été créé pour ajouter une protection supplémentaire aux comptes en ligne. En plus des traditionnels « nom d’utilisateur » et « mot de passe », ce système vous permet de recevoir un code sur votre smartphone, envoyé par SMS (la plupart du temps) ou via une application, pour vous connecter.

En théorie, l’authentification à double facteur est très efficace, mais malheureusement cette sécurité n’est jamais garantie à 100 %. Concernant la mésaventure de Jack Dorsey, le réseau social Twitter a tenu à préciser que « le numéro de téléphone associé au compte a été exposé à cause d’une erreur de sécurité de l’opérateur téléphonique ». Il assure également n’avoir trouvé « aucun signe que les systèmes de Twitter ont été compromis ».

R. David Edelman, un ancien conseiller de Barack Obama à la Maison-Blanche, a tenu à expliquer que « les messageries des téléphones mobiles peuvent être piratées par des moyens techniques sophistiqués, mais aussi simplement en convainquant un opérateur de migrer votre compte vers un autre, sur un téléphone non autorisé ». Puis, il a ajouté qu’il suffit de « quelques minutes de confusion pour commettre un méfait comme celui dont Dorsey a été victime ».

Le dark web est devenu une véritable mine d’or pour les cyberescrocs

Les hackers peuvent également avoir recours à d’autres méthodes pour pirater les téléphones portables. Ils n’ont pas forcément besoin d’usurper l’identité de leur cible pour piéger les opérateurs mobiles. En effet, lors de cette dernière décennie, des milliers de données privées ont été volées et mises en libre accès sur le dark web, le fameux marché noir d’internet. Par conséquent, des personnes malintentionnées peuvent obtenir en quelques clics des informations personnelles utiles permettant de piéger facilement les opérateurs.

Motherboard, l’un des sites référence de la presse tech américaine, explique que les comptes de réseaux sociaux représentent une valeur marchande non négligeable sur le dark web et peut atteindre plusieurs dizaines de milliers de dollars ou de bitcoins.

De nombreux experts de la cybersécurité s’accordent à dire que l’arnaque à la carte SIM et l’usurpation d’identité, notamment celles de certaines personnalités politiques, pourraient avoir de très graves conséquences sur le monde. Par exemple, Joseph Lorenzo Hall, technologue en chef au Center for Democracy & Technology à Washington, est persuadé qu’un faux tweet d’un président risquerait de provoquer un krach boursier ou pire encore.




Les mesures pour faire face à cette nouvelle menace numérique

À ce jour, l’arnaque à la carte SIM est moins courante que des cyberattaques comme l’hameçonnage (phishing en anglais) ou le rançongiciel (ransomware en anglais). Mais depuis bientôt 2 ans, elle s’est considérablement développée.

C’est pourquoi aux États-Unis, T-mobile, AT&T et Verizon offrent à leurs clients la possibilité d’ajouter un mot de passe à leur compte pour effectuer toutes les modifications importantes. Les banques commencent elles aussi à prendre des mesures de sécurité supplémentaires.

En France, depuis l’entrée en vigueur de la DSP2 (Directive européenne sur les services de paiement 2e version), les méthodes de validation des paiements se sont considérablement durcies.

Les conseils pour se prémunir contre le SIM Swap

En attendant que des mesures efficaces soient mises en œuvre, il est nécessaire de rester vigilant et d’oublier les codes par SMS. Le 12 avril 2019, suite à une recrudescence d’attaques par SIM Swap, la société Kaspersky — multinationale spécialisée dans la cybersécurité — recommandait aux utilisateurs brésiliens et mozambicains de ne plus utiliser l’authentification à deux facteurs par texto.

Selon les experts de la sécurité, il est fortement conseillé de télécharger un authenticator sur votre smartphone, tel que Microsoft Authenticator ou Google Authenticator, qui fait office de coffre-fort pour tous les comptes en ligne disposant de l’A2F.

N’hésitez pas à demander à votre opérateur mobile s’il est possible d’utiliser un mot de passe supplémentaire pour tout échange de carte SIM.

Veillez aussi à supprimer votre numéro de téléphone de tout compte susceptible d’intéresser les hackers. Si vous avez besoin de fournir un numéro de téléphone, le site Motherboard vous conseille d’opter pour un numéro VoIP (Voice Over Internet Protocol) comme un numéro Google Voice par exemple.

Évitez de laisser des informations personnelles ou des scans de vos documents d’identité sur les sites internet (nom, prénom, date de naissance, etc.), sur votre smartphone ou votre ordinateur. Ainsi, les hackers pourront difficilement utiliser le social engineering pour récupérer vos informations et piéger les télécoms.

Pour protéger vos données des regards indiscrets et des attaques malveillantes, assurez-vous d’utiliser, le plus possible, un pare-feu (firewall en anglais) et des logiciels antivirus sur votre ordinateur ou sur votre smartphone. Évitez de surfer sur des sites douteux et de télécharger des fichiers suspects. De même qu’il est fortement déconseillé de se connecter via un hotspot WiFi public, car ce point d’accès n’est pas sécurisé et de nombreux logiciels malveillants (malwares en anglais) circulent.

Enfin, il est primordial de rester sur ses gardes et de ne pas croire que ce genre d’arnaque n’arrive qu’aux autres. Personne n’est à l’abri de se faire pirater son ordinateur ou son smartphone. Si le message « carte SIM désactivée ou absente » apparaît, ou si votre téléphone se met brusquement sur le mode « appels d’urgence uniquement », soyez attentif. Dans le cas où vous avez le moindre doute, n’hésitez pas à contacter votre opérateur mobile ou à vous rendre directement en boutique pour prouver votre identité et agir le plus rapidement possible.