Arnaque à la carte SIM

/

/

Article

L’authentification à deux facteurs n’est pas une muraille infranchissable, dès lors que vous choisissez de recevoir un code secret par texto. De plus en plus de hackers contournent ainsi cette technique de sécurité en se faisant passer pour leur cible, afin de leur dérober, virtuellement, leur carte SIM…

Pour protéger ses comptes et pallier la faiblesse de l’usage de mots de passe toujours plus facilement piratables, il est d’usage de recommander l’utilisation de l’authentification à deux facteurs. Pour rappel, cette technique consiste à envoyer un code à votre smartphone, par SMS ou via une application, quand vous tentez de vous connecter à l’un de vos comptes en ligne. Ainsi cela vous offre-t-il une couche de protection supplémentaire, en théorie impossible à déjouer – puisqu’un hacker ne peut pas, normalement, obtenir ce code secret qui vous est envoyé pour vous connecter après que vous ayez entré votre mot de passe.

Technique de contournement de l'authentification à deux facteurs

Mais malheureusement, en sécurité, aucune technique n’est jamais sûre à 100%. C’est ainsi que depuis déjà 4 ou 5 ans, une poignée de pirates informatiques (qui sont de plus en plus nombreux depuis un an environ), contournent cette protection, par une méthode appelée le “Sim Swap” – en français, l’échange de carte SIM. Même si de plus en plus de monde stocke directement ses données sur son appareil ou en ligne, et plus sur cette petite carte rectangulaire qui permet de se connecter au réseau cellulaire, ce n’est pas le cas de tout le monde, et de toute façon, là n’est pas la question : il suffit en effet à un hacker de se faire passer pour vous auprès de votre opérateur (en prétendant avoir perdu la carte SIM, ou s’être fait voler son téléphone), pour mettre la main sur votre ligne téléphonique (l’usage de votre numéro).

En un tour de main, une nouvelle carte SIM est activée par l’opérateur, et les appels et SMS que vous êtes censé recevoir ne s’affichent alors plus sur votre smartphone, mais sur celui de votre hacker. À lui, ensuite, l’accès à vos comptes en ligne, qu’il s’agisse de réseaux sociaux, de boîtes mail… ou de comptes bancaires – puisque les textos et autres messages texte permettent bien souvent de retrouver un mot de passe oublié, mais aussi d’usurper une carte bancaire via le système de vérification “3D Secure”, qui utilise comme troisième étape un code secret à usage unique, envoyé par SMS…

Et évidemment, comme nous stockons quasiment toute notre vie sur nos appareils mobiles, les hackers ont ainsi accès à de très nombreuses informations et données sur vous. Pendant ce temps, le téléphone de la victime est hors service, et il lui est très difficile de riposter, notamment en convaincant sa banque et les différents médias sociaux qu’il s’agit bien d’elle (et non de l’escroc !).

"Nous allons en voir de plus en plus"

Pour les pirates informatiques, il ne s’agit pas d’une technique difficile à réaliser en théorie, puisqu’il leur suffit de connaître quelques informations personnelles sur la personne ciblée. Autrement dit, de pratiquer du social engineering, afin de récupérer notamment au préalable le numéro de sécurité sociale et l’adresse de la cible, afin de “donner confiance” à l’opérateur téléphonique.

Pour les victimes, les dégâts du Sim Swap peuvent être considérables. La mésaventure de Rachel Ostlund, racontée en 2018 dans une longue enquête sur le site Motherboard, s’avère ainsi plutôt inquiétante. Cette jeune femme américaine s’est faite pirater tous ses comptes privés par un internaute malveillant, qui l’a menacée notamment de se faire passer pour elle sur Internet, et de s’en prendre à ses proches, dont il connaissait les identités et les adresses de domicile, probablement grâce à sa liste de contacts stockée en ligne.

“Un soir, elle envoyait des SMS à sa soeur, quand, soudain, son téléphone a perdu le signal cellulaire. Le dernier message reçu provenait de T-Mobile, l’opérateur de Rachel. Il disait que sa carte SIM avait été ‘mise à jour’. Une heure plus tard, son mari Adam recevait un appel d’un individu malveillant, menaçant de détruire leur vie”, raconte le journaliste US Lorenzo Franceschi-Bicchierai. De l’autre côté du combiné, deux hackers, qui ont réussi en quelques heures à prendre la main sur son compte Instagram et sur différents comptes fonctionnant par abonnement (Amazon, Netflix, Ebay, Paypal…). Que demandaient-ils donc à leur victime ? L’accès à ses comptes Twitter et Instagram. Car les comptes de réseaux sociaux ont, explique Motherboard, une valeur marchande non négligeable sur le Dark Web, ainsi que sur des forums d’échange d’infos volées, pouvant aller jusqu’à plusieurs milliers de dollars (ou plusieurs dizaines de milliers de Bitcoins).

Le détournement de carte SIM est encore méconnu et moins courant que le phishing par emails, mais cette fraude ciblée s’est considérablement développée depuis un an environ. Un autre Américain a récemment poursuivi l’opérateur AT&T pour s’être fait dérober des milliers de dollars en bitcoins, à la suite d’une fraude semblable. Des stars et des influenceurs, de Selena Gomez à l’activiste de Black Lives, Matter Deray McKesson, en passant par le youtubeur Boogie2988, se sont également fait pirater leurs comptes de cette façon. Enfin, pendant presque deux ans, un groupe d’arnaqueurs (récemment démantelés) a utilisé l’échange de carte SIM pour vider les comptes bancaires de plusieurs centaines de victimes. En France aussi, des cas de Sim Swap ont été rapportés. Ainsi, en 2018, une jeune femme originaire de Vannes s’est-elle faite dérober quelque 2000 euros par des pirates, qui se sont connectés en quelques minutes à son compte en banque, rapporte Ouest France.

Si l’on en croit l’enquête de Motherboard, le Sim Swap commence à s’industrialiser, au point que des hackers vont jusqu’à soudoyer des employés d’opérateurs, pour accéder à la totalité des données du téléphone de leur victime, et usurper son identité. Les utilisateurs de cryptomonnaies seraient évidemment particulièrement ciblés.

Pour l’instant, les opérateurs affirment que ce type de fraude est rarissime. Mais comme le note Kevin Haley, expert en sécurité informatique chez Symantec, sur le site québécois L’Actualité, tout n’est qu’une question de temps avant qu’elle se généralise : “les cybercriminels apprennent les uns des autres. Avec tous ces cas récents qui ont permis aux pirates d’amasser beaucoup d’argent, c’est sûr que nous allons en voir de plus en plus”.

Jusqu’à récemment, les opérateurs de téléphonie mobile ont eu tendance à négliger cette menace. Mais suite à l’enquête de Motherboard, dans laquelle un expert en sécurité affirme que “n’importe quel numéro peut être détourné, dès lors que le cybercriminel est déterminé, car la plupart des systèmes n’ont pas été conçus pour faire face à des attaquants qui s’emparent des numéros de téléphone”, ils ont commencé à prendre des mesures – de même que les banques. Aux Etats-Unis, AT&T, T-Mobile et Verizon permettent par exemple à leurs clients d’ajouter un mot de passe à leur compte, un code d’accès nécessaire pour réaliser toute modification importante, tel que le transfert d’un numéro sur une autre carte SIM.

En France, difficile de savoir ce qu’ont prévu les opérateurs, car ils ne communiquent pas vraiment sur le sujet. Des clients de SFR racontaient en 2018 avoir été “victimes de fraudes bancaires, à cause de la négligence des agents” du fournisseur. S’il est probable que les opérateurs ont sensibilisé depuis les agents de leurs “services clients” (selon l’Observatoire de la sécurité des moyens de paiement, le Sim Swap serait en diminution cette année), une faille de taille demeurera toujours : l’humain, qui commet parfois des erreurs.

Le fragile espoir de l'eSIM

On pourra se rassurer en pensant à la directive européenne de 2015 qui entrera en vigueur le 14 septembre 2019, et qui durcira la méthode pour valider un paiement en ligne. Ainsi, le SMS de validation ne suffira plus, puisque l’internaute devra aussi fournir : une information que lui seul connaît (code confidentiel, mot de passe, information personnelle), un objet que lui seul possède (carte, smartphone, bracelet connecté), ou une “caractéristique biométrique” (reconnaissance faciale ou digitale). Mais une telle solution sera-t-elle réellement suffisante – notamment quand on sait que les banques, de leur côté, ont d’ores et déjà obtenu le maintien de la seule validation par SMS pour les paiements inférieurs à 30 euros ?

Les choses bougent, tout de même. Selon BFM Business, les opérateurs télécom seraient “en ordre de bataille”, et développeraient actuellement des systèmes d’IA pour lutter contre le Sim Swap, permettant de délivrer un “score de véracité” pour tout papier d’identité (scanné) envoyé sur leurs serveurs (dans une sorte de “sas” de sécurité dans les nuages) ; ou encore de détecter les changements récents de cartes SIM, qui seraient de potentiels “signaux faibles”. Mais que se passe-t-il quand le fraudeur a réussi à mettre la main sur des documents d’identité et se rend directement en boutique pour usurper votre identité ? Nul ne le sait.

Et si c’était finalement la carte SIM elle même qu’il faudrait enterrer ? Les télécoms planchent aussi sur l’intégration, directement dans les smartphones, d’une “eSIM“, ou carte SIM virtuelle – qui existe déjà sur les smartphones de Google, via de nombreux opérateurs européens et américains… mais pas encore chez les nôtres. Comme l’indiquait notre confrère FrAndroid en mars dernier, “Orange, SFR et Bouygues Telecom ont annoncé qu’ils travaillent activement pour proposer ce service à leurs clients. Mais du côté des constructeurs Android, aucun n’a pour le moment montré sa volonté d’intégrer ce type de technologie au sein de leurs smartphones. Car les opérateurs ont globalement assez peu d’intérêts à déployer l’eSIM (rappelons que les cartes SIM sont généralement facturées entre 5 et 10 euros aux clients), et si les marques ne poussent pas son déploiement, on pourrait attendre encore avant de voir une popularisation de cette technologie”.

En attendant l’arrivée de cette technologie miracle, du côté des réseaux sociaux, Instagram a beau avoir annoncé l’abandon de l’authentification par SMS il y a déjà six mois de cela, cette technique demeure encore possible aujourd’hui. Idem pour Facebook, Twitter, et les autres.

Seul Google semble avoir pris le premier la mesure du problème, en préférant depuis 2017 l’envoi de notifications sur le téléphone, plutôt que des SMS. L’occasion, d’ailleurs, de citer nos amis de ZDNet.fr, qui écrivaient à l’époque que “le protocole SS7, utilisé par les opérateurs de télécommunication pour communiquer entre eux, n’est pas infaillible”, et que “pour un cybercriminel un peu versé dans le domaine, c’est même un véritable gruyère, ce qui ouvre la voie à des détournements de ces fameux SMS censés vérifier la légitimité de l’utilisateur et donc de contourner l’authentification à double facteurs”.

Le constat semble donc limpide : le phishing et l’ingénierie sociale ont encore de beaux jours devant eux. Alors, n’attendez donc pas que les acteurs du Web et les opérateurs agissent, et prenez les devants en adoptant une toute nouvelle ligne de conduite. Ce n’est sans doute pas Kaspersky qui me contredira, puisque pas plus tard que le 12 avril 2019, face à une recrudescence d’attaques par l’échange de cartes SIM, l’entreprise de cybersécurité avertissait les utilisateurs brésiliens des risques du Sim Swap, et leur conseillait, tout simplement, d’oublier l’authentification à deux facteurs – ou alors de ne plus passer par les textos, mais d’opter pour d’autres méthodes, telle que la génération d’un “mot de passe à usage personnel dans une application mobile” (par exemple, via Google Authenticator, qui permet notamment d’utiliser des QR Codes à scanner manuellement).

Oubliez les codes par SMS

L’erreur est humaine. Nous avons nous-même fait la promotion de cette technique par le passé, il y a déjà 6 ans, la considérant à l’époque comme étant l’ultime protection face aux hackers. Ce qui sur le papier est une méthode imparable peut devenir la pire menace qui soit, puisqu’il suffit à un pirate de mettre la main sur votre ligne téléphonique, pour prendre une totale possession de vos données, tout en vous mettant hors jeu. Voici, donc, quelques conseils, qui devraient probablement vous permettre de minimiser au maximum les risques. Mais plus question de vous promettre que vous ne risquerez plus jamais rien car rien n’est jamais 100% sûr.

Tout d’abord, demandez à votre opérateur s’il peut vous permettre d’utiliser un mot de passe supplémentaire – on ne sait jamais -, pour tout échange de carte SIM… bien que les employés, dans les boutiques physiques, demeureront longtemps le maillon faible…

Ensuite, comme le conseillait plus haut Kaspersky, optez pour une autre forme d’authentification à deux facteurs. Selon les experts, il s’agit toujours d’une protection efficace – simplement, oubliez les textos et les messages textes. Choisissez par exemple d’obtenir un code grâce à une appli mobile : à moins de voler votre téléphone et de deviner votre code de verrouillage, d’éventuels escrocs ne pourront pas y accéder.

“Si possible, vous devriez supprimer votre numéro de téléphone de tout compte qui pourrait intéresser les pirates informatiques. Vous pouvez toujours lier un type de numéro de téléphone à ces comptes, mais nous vous suggérons d’utiliser un numéro VoIP, tel qu’un numéro Google Voice, qui est à l’épreuve des détournements de carte SIM”, recommande de son côté Motherboard dans un autre article portant sur le Sim Swap.

Afin d’éviter à un hacker d’utiliser l’ingénierie sociale pour convaincre un opérateur ou toute cible humaine qu’il possède bien votre ligne, faites aussi attention à ce que vous laissez traîner derrière vous, sur le Web : votre date de naissance, vos noms et prénoms, et toute autre info personnelle susceptible de lui fournir des indices. Evidemment, ne laissez pas non plus traîner des scans de vos documents d’identité sur votre ordinateur, votre smartphone, en ligne, ou sur un appareil qui ne vous appartient pas.

Utilisez aussi, autant que possible, un firewall sur votre ordinateur pour vous prémunir de tout cheval de Troie. L’intérêt des antivirus sur smartphones reste à prouver : aussi, prenez juste vos précautions en évitant de surfer sur des sites douteux, de télécharger des fichiers tout aussi douteux, ou encore d’utiliser un hotspot WiFi public (donc non sécurisé). Car l’authentification par application (plutôt que par SMS) ne servira évidemment à rien si un hacker réussit à pirater à distance votre smartphone, via un malware par exemple.

Enfin, soyez sur vos gardez et attentifs, dans le cas où votre smartphone basculerait subitement sur le mode “appels d’urgence uniquement”, ou si le message “carte SIM désactivée / absente” s’afficherait. Soyez ainsi prêt à contacter à tout moment votre opérateur, ou à vous rendre dans une boutique, afin de prouver votre identité, le plus vite possible.

L’idée n’est pas, bien entendu, de sombrer dans la parano, mais juste de garder en tête que tout, même ce que vous pensez insubmersible, peut très bien couler un jour.

1
Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

Vous aimerez aussi :

elit. quis amet, Aliquam felis nunc

Support technique Bell Vision

// nos conseillers techniques sont à votre disposition

Si vous êtes déjà en relation avec l’un de nos techniciens, veuillez cliquer sur le bouton ci-dessous afin de télécharger l’utilitaire de prise en main à distance (votre système d’exploitation va être détecté automatiquement) :

Si cette version ne se lance pas sur votre Mac, veuillez utiliser la version proposée dans la dernière section de support “Prise en main à distance de secours pour Mac”.

logotype-bellvision-esn-informatique-entreprise-services-distribution-web-cloud-saint-nazaire

Prestations d'audit

Ci-contre quelques exemples non exhaustifs de prestations proposées par Bell Vision en matière d’audit en informatique d’entreprise.

  • Audit de la situation initiale
  • Audit du projet informatique
  • Audit de la fonction informatique dans l'entreprise
  • Audit applicatif
  • Analyse des plans de charge
  • Audit informatique de sécurité
logotype-bellvision-esn-informatique-entreprise-services-distribution-web-cloud-saint-nazaire

Prestations de conseil

Nous vous présentons ici quelques exemples non exhaustifs de prestations proposées par Bell Vision en matière de conseil en informatique d’entreprise.

  • Conseil en stratégie de développement et de conception des infrastructures
  • Conseil en choix d'équipements matériels et logiciels informatiques
  • Conseil pour l'établissement d'un schéma directeur
  • Conseil de faisabilité
  • Conseil pour la mise en oeuvre d'un projet
  • Conseil sur les nouvelles technologies
  • Conseil sur la réalisation de choix stratégiques éco-responsables
logotype-bellvision-esn-informatique-entreprise-services-distribution-web-cloud-saint-nazaire

Restons en contact !

Inscrivez-vous à notre newsletter et recevez régulièrement nos emailings.

Actualité informatique, alertes de sécurité, nouveautés logicielles et matérielles, veille technologique… vous serez averti régulièrement de l’évolution de l’informatique d’entreprise.