Quelle que soit leur forme ou leur taille, compromettre des cartes SIM est une tâche relativement simple.
Dans notre article sur la fuite massive de données de Facebook au début du mois, nous avons évoqué le concept d'échange de cartes SIM. Ce type d'attaque est de plus en plus facile, grâce aux fuites qui associent adresses électroniques et numéros de téléphone mobile. Nous allons examiner plus en détail comment ce type d'attaque est réalisé, pourquoi il est si populaire et quelles mesures vous pouvez prendre pour l'éviter à l'avenir.
Chaque téléphone mobile possède une carte spéciale appelée Subscriber Identity Module (SIM) ou module d'identité d'abonné en français. Ces cartes existent en trois tailles différentes : grande, moyenne et petite (il existe d'autres noms pour les désigner, mais je m'en tiendrai ici à la simplicité). Les téléphones les plus récents sont équipés des plus petites cartes, qui ont à peu près la taille de la surface de l'ongle de votre petit doigt, si vous avez des petits doigts. Si vous avez cette plus petite carte SIM, vous pouvez toujours l'insérer dans le plateau de votre ancien téléphone, grâce aux adaptateurs en carton qui sont inclus si vous devez un jour acheter une nouvelle carte.
En fait, il existe une quatrième version de la carte SIM - une carte SIM virtuelle ou eSIM - que l'on trouve sur les modèles de smartphones les plus récents. Elle vous permet d'utiliser deux cartes SIM sur votre téléphone, par exemple lorsque vous voyagez à l'étranger (vous vous souvenez de cette époque ?) et que vous souhaitez avoir un numéro local et un deuxième opérateur mobile dans un autre pays.
Comment fonctionne l'échange
Quelle que soit la taille ou la forme de la carte SIM, la compromettre est une tâche relativement simple - c'est pourquoi cette attaque est si populaire. Les escrocs appellent votre opérateur mobile et disent que votre téléphone a été perdu ou que vous l'avez fait tomber et qu'il ne fonctionne pas. Ils demandent à l'opérateur d'activer une nouvelle carte SIM avec votre numéro de téléphone sur leur téléphone. S'ils sont suffisamment convaincants (ou s'ils ont trouvé quelqu'un chez l'opérateur qu'ils peuvent soudoyer pour qu'il se plie à leurs exigences), vous êtes grillé. En effet, une fois l'échange effectué, vous ne recevez plus aucun de vos SMS, appels ou autres données. Tout ce qui est lié à votre numéro de téléphone portable - qui, pour beaucoup d'entre nous, est notre seul numéro de téléphone - est une proie facile pour le pirate. À ce stade, l'escroc peut changer votre adresse électronique et modifier vos informations bancaires et de crédit, en se faisant passer pour vous.
Si ce stratagème vous semble trop incroyable, détrompez-vous. Un groupe de chercheurs de l'université de Princeton a examiné les principaux opérateurs de téléphonie mobile américains, ainsi que 140 sites web différents. Tous les opérateurs et 17 de ces sites web se sont révélés vulnérables. Certes, cette étude a été réalisée en 2019, mais l'examen de l'article qui en résulte est une analyse effrayante et frustrante de l'inefficacité des protections supposées des opérateurs dans les mains d'un pirate rusé avec une bonne histoire.
Par exemple, certains opérateurs demandent des informations personnelles (comme les détails du paiement sur votre compte) mais donnent des indications aux pirates s'ils ont mal deviné avec leur première réponse. Les chercheurs ont également publié un tableau qui documente les différents sites web et indique si leurs implémentations étaient correctement sécurisées. Malheureusement, ce tableau n'est pas aussi obsolète qu'on pourrait le croire. Si l'innovation est rapide dans certains domaines de la technologie, ce n'est pas le cas ici.
En savoir plus : Protéger son smartphone avec Avast Premium security
Victimes bien connues d'échanges de cartes SIM
Au fil des ans, des personnes notables ont été victimes d'échanges de cartes SIM. Matthew Miller, un journaliste indépendant de ZDNet, a vu son téléphone attaqué en 2019. Il a perdu ses followers sur Twitter, s'est fait voler pour 25 000 dollars de bitcoins (finalement rendus) sur son compte bancaire, et a dû changer des dizaines de mots de passe qui étaient liés à ses comptes compromis.
« Tous ceux que je connais dans l'espace des crypto-monnaies se sont fait voler leur numéro de téléphone », a déclaré Joby Weeks, un entrepreneur Bitcoin cité dans ce reportage sur les échanges de cartes SIM publié en 2017. Également cité dans cette histoire, ce qui est arrivé à Adam Pokornicky, un associé directeur chez Cryptochain Capital. Son téléphone a été piraté alors qu'il était en ligne et il a vu un attaquant saisir tous ses comptes en quelques minutes. Son compte était la cible des voleurs depuis un certain temps, car il avait un pseudonyme Twitter séduisant.
L'un des premiers et des plus tristement célèbres échanges de SIM a probablement eu lieu sur le compte Twitter de DeRay Mckesson en 2016. En parlant de Twitter, le propre compte de son PDG, Jack Dorsey, a été détourné en 2019. Parmi les autres célébrités qui ont été victimes, citons l'actrice Jessica Alba, l'artiste musicien King Bach et des personnalités en ligne comme Shane Dawson et Amanda Cerny. D'autres histoires d'horreur ont également été rapportées par l'écrivain spécialiste de la sécurité Brian Krebs.
Comment prévenir les attaques futures
Les opérateurs ont fait des progrès en matière d'échange de cartes SIM. Les principaux opérateurs américains ont annoncé qu'ils s'efforçaient de créer leur propre application d'authentification des smartphones, qui est désormais disponible sous le nom de Zenkey.
L'une des premières lignes de défense consiste à être plus conscient de ce qui pourrait mal tourner. Il est recommandé de ne pas répondre aux appels ou aux SMS qui vous demandent des informations personnelles. Jamais. Même quelque chose d'aussi inoffensif qu'un texte de notification de colis peut être dangereux si vous cliquez sur le lien intégré.
Deuxièmement, comme le recommande notre article sur les fuites de Facebook, vous devriez essayer de changer votre deuxième facteur d'authentification, en passant des SMS aux applications d'authentification, telles que Google Authenticator et Authy. Bien que cet exercice puisse être frustrant (comme nous l'expliquons dans cet article), il contribue grandement à mettre fin aux échanges. De même, ne comptez pas sur Facebook, Google ou Twitter pour vous authentifier afin de vous connecter à d'autres services - vous devez mettre en place un processus d'authentification distinct avec des mots de passe uniques. Pour garder une trace de votre collection de mots de passe, utilisez un gestionnaire de mots de passe pour en créer des complexes que vous n'aurez pas à retenir et à retaper.
Enfin, une autre façon d'essayer d'empêcher les attaquants potentiels de prendre le contrôle est de mettre un code d'accès supplémentaire sur votre compte de téléphone portable. Le problème, comme l'a découvert l'équipe de Princeton, est que le personnel des centres d'appels des compagnies de téléphone peut facilement être persuadé de contourner cette protection. L'article de Matthew Miller contient également de nombreux conseils sur la marche à suivre si vous avez été victime d'une attaque par échange de carte SIM.
NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com
Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.