Arnaques à la carte SIM : une pratique en hausse
L'arnaque aux cartes SIM aussi appelée "SIM swap" ou "transfert de SIM" est une pratique de hackers de plus en plus répandue. Elle consiste à prendre le contrôle de votre ligne téléphonique en se faisant passer pour vous auprès de votre opérateur. Les pirates peuvent ainsi réaliser des opérations bancaires en exploitant le système de double authentification. Retour sur cette pratique qui se répand et comment s'en protéger.
Le "transfert de SIM" : une technique de piratage de plus en plus courante
Le piratage du compte Twitter de Jack Dorsey, le PDG de Twitter, a au moins le mérite de mettre sur le devant de la scène les arnaques à la carte SIM et le danger qu'elles représentent. Cette attaque sur le compte de Jack Dorsey a été réalisée grâce à la technique du "transfert de SIM". Cette arnaque à la carte SIM consiste ainsi à obtenir l'accès au numéro de téléphone de la personne visée en trompant les opérateurs téléphoniques. Une fois l'accès à la ligne de la victime récupérée, les hackers peuvent ainsi accéder aux applications des réseaux sociaux, aux boîtes mails mais aussi aux comptes bancaires de la personne ciblée.
Pour récupérer les informations personnelles de leurs cibles et ainsi convaincre les opérateurs de prendre le contrôle de votre ligne téléphonique, les pirates ont recours à de nombreuses techniques. La technique la plus classique est celle du "phishing" (hameçonnage) qui consiste à se faire passer pour une entité connue de la personne visée (banque, opérateur téléphonique, réseau social...), en prétextant une urgence ou une bonne nouvelle (ironiquement cela peut être une alerte du type sécurité compromise), et de vous pousser à renseigner vos informations dans le but de les utiliser de façon frauduleuse par la suite.
Les hackers ont cependant de nombreuses autres ressources et n'ont même pas vraiment besoin d'être des experts en informatique. En effet, ils peuvent aussi simplement acheter des données sur le marché noir d'internet, voire même dans certains cas utiliser des employés des opérateurs qui ont été corrompus et ont divulgués ces informations personnelles.
Une fois les informations personnelles récupérées, il est alors très facile de duper les opérateurs téléphoniques en prétendant avoir perdu ou s'être fait voler son portable. Les pirates récupèrent ainsi une nouvelle carte SIM et par là même prennent le contrôle de votre ligne. Cette méthode déjoue les systèmes d'authentification à deux facteurs qui se sont multipliés et semblaient imparables... jusqu'à maintenant !
Comment le "SIM Swap" rend l'authentification à double facteurs par SMS obsolète ?
L'authentification à double facteurs (ou double authentification) est une procédure de sécurité en deux étapes ou à deux composantes qui n'est pas si nouvelle qu'il y paraît. En effet, la combinaison d'une carte bancaire et le code secret qui lui est associé constitue déjà une double authentification. Le souci, comme nous venons de l'évoquer, c'est cette authentification à double facteurs qui dans la plupart des cas repose sur l'envoie d'un code de sécurité par SMS.
C'est de cette manière par exemple que des hackers ont réussi à détourner plusieurs milliers d'euros de certaines victimes en France. En effet, en seulement trois virements vers de nouveaux bénéficiaires ajoutés dans la liste de l'application bancaire, les pirates peuvent détourner cet argent facilement.
C'est aussi de cette façon que le compte de Jack Dorsey a pu être piraté puisque Twitter utilise aussi l'authentification à double facteurs avec envoi de SMS (comme de nombreux services, notamment Google et "la validation en deux étapes"). Dans ce cas précis, ce n'est pas une quelconque faille du système de sécurité de Twitter qui a été exploitée mais bien le recours à l'arnaque de transfert de SIM qui a compromis son compte.
Les pirates sont aussi intéressés par la récupération des accès des différents comptes des réseaux sociaux comme Instagram ou Facebook qui se monnayent et se revendent sur internet sur des sites comme OGusers qui se spécialisent dans la vente de biens virtuels, et où des comptes de réseaux sociaux piratés se revendent jusqu'à des milliers de dollars.
Comment se protéger des arnaques à la carte SIM ?
Arrivé à ce niveau-là de la lecture, vous pensez certainement qu'il vous faut tout de suite abandonner le système d'authentification à double facteurs. C'est en partie vraie, le principe de la sécurité à double facteurs est toujours valide et recommandée mais pas avec l'envoi d'un SMS. Une solution simple pour ceux qui sont déjà habitués à l'authentification à double facteurs c'est de changer ce procédé de vérification par une application.
Il vous faudra ainsi toujours un code après avoir renseigné votre mot de passe mais celui-ci sera généré par une application au lieu de vous être envoyé par SMS. Plusieurs applications existent comme Google Authentificator, LastPass Authentificator ou bien encore Microsoft Authentificator parmi d'autres. De cette façon, vous êtes protégés contre le piratage de transfert de SIM et, bonus supplémentaire, ces applications fonctionnent aussi hors ligne, ce qui permet de s'en servir même sans couverture réseau.
La solution la plus sécuritaire cela dit et presque impossible à pirater (aucune sécurité ne sera jamais 100% parfaite cela dit), c'est l'utilisation d'une clé de sécurité comme celles que proposent Yubico YubiKey ou Google Titan. Ces clés de sécurité ressemblent à des clés USB et se connectent d'ailleurs par ses ports ou selon les clés en Wi-Fi. Une fois paramétrée, cette clé vous sera alors demandée en plus de votre mot de passe pour pouvoir accéder à vos comptes.
Les clés de sécuritéCes clés de sécurité uniques sont le meilleur système de sécurité pour la double authentification. Impossibles à copier, il est ainsi préférable d'effectuer une copie de sauvegarde dès l'achat et de la conserver dans un lieu sûr. En cas de perte, le double vous permettra de conserver l'accès à vos comptes.
Finalement, il est recommandé aussi de bien mettre à jour les logiciels et les systèmes d'exploitation, ainsi que d'utiliser un antivirus, un bloqueur de publicités et un VPN pour être le mieux protégé possible. Pour plus d'informations vous pouvez aussi consulter nos conseils pour sécuriser votre smartphone.
