Comment vous protéger contre les attaques par échange de carte SIM
Vous pensez que vous faites tous les bons choix. Vous êtes intelligent avec votre sécurité. L'authentification à deux facteurs est activée sur tous vos comptes. Mais les pirates ont un moyen de contourner cela: l'échange de SIM.
C’est une méthode d’attaque dévastatrice aux conséquences désastreuses pour ceux qui en sont victimes. Heureusement, il existe des moyens de se protéger. Voici comment cela fonctionne et ce que vous pouvez faire.
Sommaire
Qu'est-ce qu'une attaque SIM-Swap?
Il n'y a rien de fondamentalement mauvais avec le «permutation de cartes SIM». Si jamais vous perdez votre téléphone, votre opérateur effectuera un échange de carte SIM et déplacera votre numéro de téléphone portable vers une nouvelle carte SIM. C’est une tâche de service à la clientèle de routine.
Le problème est que les pirates informatiques et les criminels organisés ont compris comment inciter les compagnies de téléphone à effectuer des échanges de cartes SIM. Ils peuvent ensuite accéder à des comptes protégés par une authentification à deux facteurs basée sur SMS (2FA).
Soudain, votre numéro de téléphone est associé au téléphone de quelqu'un d'autre. Le criminel reçoit alors tous les SMS et appels téléphoniques qui vous sont destinés.
L'authentification à deux facteurs a été conçue en réponse au problème des fuites de mots de passe. De nombreux sites ne parviennent pas à protéger correctement les mots de passe. Ils utilisent le hachage et le salage pour empêcher la lecture des mots de passe dans leur forme d'origine par des tiers.
Pire encore, de nombreuses personnes réutilisent des mots de passe sur différents sites. Lorsqu'un site est piraté, un attaquant dispose désormais de tout ce dont il a besoin pour attaquer des comptes sur d'autres plateformes, créant un effet boule de neige.
Pour des raisons de sécurité, de nombreux services exigent que les utilisateurs fournissent un mot de passe à usage unique spécial (OTP) chaque fois qu'ils se connectent à un compte. Ces OTP sont générés à la volée et ne sont valables qu'une seule fois. Ils expirent également après une courte période.
Pour plus de commodité, de nombreux sites envoient ces OTP à votre téléphone par SMS, ce qui comporte ses propres risques. Que se passe-t-il si un attaquant peut obtenir votre numéro de téléphone, soit en volant votre téléphone, soit en effectuant un échange de carte SIM? Cela donne à cette personne un accès presque illimité à votre vie numérique, y compris à vos comptes bancaires et financiers.
Alors, comment fonctionne une attaque SIM-swap? Eh bien, cela dépend de l'attaquant qui incite un employé de la compagnie de téléphone à transférer votre numéro de téléphone vers une carte SIM qu'il contrôle. Cela peut se produire par téléphone ou en personne dans un magasin de téléphonie.
Pour ce faire, l'attaquant a besoin de connaître un peu la victime. Heureusement, les médias sociaux regorgent de détails biographiques susceptibles de tromper une question de sécurité. Votre première école, votre animal de compagnie ou votre amour, et le nom de jeune fille de votre mère figurent probablement sur vos comptes sociaux. Bien sûr, si cela échoue, il y a toujours du phishing.
Les attaques par échange de SIM sont impliquées et prennent du temps, ce qui les rend mieux adaptées aux incursions ciblées contre un individu particulier. Il est difficile de les retirer à grande échelle. Cependant, il y a eu quelques exemples d'attaques généralisées d'échange de cartes SIM. Un gang brésilien du crime organisé a pu échanger SIM 5 000 victimes sur une période de temps relativement courte.
Une escroquerie de «portage» est similaire et implique le détournement de votre numéro de téléphone en le «portant» vers un nouveau fournisseur de services cellulaires.
Qui est le plus à risque?
En raison de l'effort requis, les attaques d'échange de cartes SIM ont tendance à avoir des résultats particulièrement spectaculaires. Le motif est presque toujours financier.
Récemment, les échanges et les portefeuilles de crypto-monnaie ont été des cibles populaires. Cette popularité est aggravée par le fait que, contrairement aux services financiers traditionnels, il n'y a pas de refacturation avec Bitcoin. Une fois envoyé, il a disparu.
De plus, n'importe qui peut créer un portefeuille de crypto-monnaie sans avoir à s'inscrire auprès d'une banque. C'est le plus proche possible de l'anonymat en ce qui concerne l'argent, ce qui facilite le blanchiment des fonds volés.
Une victime bien connue qui a appris cela à la dure est l'investisseur Bitcoin, Michael Tarpin, qui a perdu 1 500 pièces lors d'une attaque par échange de carte SIM. Cela s'est produit quelques semaines seulement avant que Bitcoin n'atteigne sa valeur la plus élevée de tous les temps. À l'époque, les actifs de Tarpin valaient plus de 24 millions de dollars.
Lorsque le journaliste de ZDNet, Matthew Miller, a été victime d'une attaque par échange de carte SIM, le pirate a tenté d'acheter pour 25 000 $ de Bitcoin en utilisant sa banque. Heureusement, la banque a pu annuler la charge avant que l'argent ne quitte son compte. Cependant, l'attaquant était toujours en mesure de saccager toute la vie en ligne de Miller, y compris ses comptes Google et Twitter.
Parfois, le but d'une attaque par échange de carte SIM est d'embarrasser la victime. Cette cruelle leçon a été apprise par Twitter et fondateur de Square, Jack Dorsey, le 30 août 2019. Des pirates ont détourné son compte et publié des épithètes racistes et antisémites dans son flux, qui est suivi par des millions de personnes.
Comment savez-vous qu'une attaque a eu lieu?
Le premier signe d'un compte d'échange de SIM est que la carte SIM perd tout service. Vous ne pourrez ni recevoir ni envoyer de SMS ou d'appels, ni accéder à Internet via votre forfait de données.
Dans certains cas, votre fournisseur de téléphone peut vous envoyer un SMS vous informant que l'échange a lieu, quelques instants avant de déplacer votre numéro vers la nouvelle carte SIM. Voici ce qui est arrivé à Miller:
«À 23 h 30 le lundi 10 juin, ma fille aînée m'a secoué l'épaule pour me réveiller d'un sommeil profond. Elle a dit qu'il semblait que mon compte Twitter avait été piraté. Il s'avère que les choses étaient bien pires que cela.
Après être sorti du lit, j'ai pris mon Apple iPhone XS et j'ai vu un message texte qui disait: «Alerte T-Mobile: la carte SIM pour xxx-xxx-xxxx a été changée. Si ce changement n'est pas autorisé, appelez le 611. »»
Si vous avez toujours accès à votre compte de messagerie, vous pouvez également commencer à voir une activité étrange, notamment des notifications de changements de compte et des commandes en ligne que vous n'avez pas passées.
Comment devez-vous réagir?
Lorsqu'une attaque par échange de carte SIM se produit, il est essentiel que vous preniez des mesures immédiates et décisives pour éviter que les choses ne s'aggravent.
Tout d'abord, appelez votre banque et les sociétés de cartes de crédit et demandez un gel de vos comptes. Cela empêchera l'attaquant d'utiliser vos fonds pour des achats frauduleux. Étant donné que vous avez également été effectivement victime de vol d'identité, il est également judicieux de contacter les différents bureaux de crédit et de demander un gel de votre crédit.
Ensuite, essayez de «devancer» les attaquants en déplaçant autant de comptes que possible vers un nouveau compte de messagerie non contaminé. Dissociez votre ancien numéro de téléphone et utilisez des mots de passe forts (et complètement nouveaux). Pour les comptes que vous ne pouvez pas atteindre à temps, contactez le service client.
Enfin, vous devez contacter la police et déposer un rapport. Je ne peux pas le dire assez: vous êtes victime d’un crime. De nombreuses polices d’assurance habitation incluent une protection contre le vol d’identité. Le dépôt d'un rapport de police peut vous permettre de déposer une réclamation contre votre police et de récupérer de l'argent.
Comment vous protéger d'une attaque
Bien sûr, la prévention est toujours mieux qu'un remède. La meilleure façon de se protéger contre les attaques par échange de carte SIM est de ne tout simplement pas utiliser 2FA basé sur SMS. Heureusement, il existe des alternatives convaincantes.
Vous pouvez utiliser un programme d'authentification basé sur une application, comme Google Authenticator. Pour un autre niveau de sécurité, vous pouvez choisir d'acheter un jeton d'authentification physique, comme la clé YubiKey ou Google Titan.
Si vous devez absolument utiliser 2FA par SMS ou par appel, vous devriez envisager d'investir dans une carte SIM dédiée que vous n'utilisez nulle part ailleurs. Une autre option consiste à utiliser un numéro Google Voice, bien qu'il ne soit pas disponible dans la plupart des pays.
Malheureusement, même si vous utilisez une application 2FA basée sur une application ou une clé de sécurité physique, de nombreux services vous permettront de les contourner et de retrouver l'accès à votre compte via un SMS envoyé à votre numéro de téléphone. Des services comme Google Advanced Protection offrent une sécurité renforcée contre les balles pour les personnes susceptibles d'être ciblées, «comme les journalistes, les militants, les chefs d'entreprise et les équipes de campagne politique».