Le « SIM swapping » : comment le compte du patron de Twitter s’est-il fait pirater ?
Vous êtes ici : Accueil » Règlement Général sur la Protection des Données (RGPD) »
Le Sim Swapping : nouvelle technique de piratage de votre smartphone
Vendredi 30 aout 2019 : le compte twitter de Jack Dorsey, le cofondateur de Twitter, se met à publier des messages racistes et insultants.
Avec 4 millions d’abonnés, le piratage n’est donc pas anodin. C’est une technique qui permet de prendre le contrôle d’un numéro de téléphone, ouvrant ainsi la porte à de nombreux types de piratages.
Il s’agit ni plus ni moins de « voler » votre numéro de téléphone portable. Sans grande expertise technique, le plus souvent, un pirate contacte le service client de votre opérateur, en se faisant passer pour vous. Il aura pris soin auparavant de voler vos données personnelles (date de naissance, adresse, numéro client, etc.) qu’il a pu trouver sur Internet ou par d’autres moyens, pour convaincre l’interlocuteur du service client. Sous prétexte que la carte SIM ne fonctionne pas correctement (ou sa perte, son vol, etc.), le pirate demande à activer votre numéro (rattaché à votre carte SIM) sur une nouvelle carte SIM, que lui possède.
Ceci fait, le pirate peut ainsi recevoir à votre place tous les appels et SMS qui vous seraient destinés.
Quels genres de piratages doit-on craindre ?
Dans le cas de Jack Dorsey, les pirates, ont utilisé Cloudhopper pour envoyer un tweet par SMS. Ce n’était pas la première fois que ce groupe “Chuckling Squad” prenait le contrôle de comptes d’influenceurs de cette manière.
Le « SIM Swapping » peut aussi aboir des implications financières. A cause d’un système très répandu, justement pour éviter les piratages : la double authentification, par l’envoi d’un code par SMS, en complément de la saisie de votre identifiant et de votre mot de passe. Un pirate disposant de ce mot de passe serait normalement bloqué à cette étape. Avec la technique du “SIM swapping”, il va contourner la double authentification, et ainsi accéder à de très nombreux types de comptes en ligne, ouvrant la voie à tous les types d’exroquerie : usurpation d’identité, chantage, vol, achats en ligne, etc.
Un Américain a été arrêté début 2019 après avoir dérobé des millions de dollars par cette méthode. Il avait entre autres accédé à des portefeuilles de cryptomonnaies.
Le piratage par SIM swapping est-il répandu ?
Personne n’est à l’abri. Jack Dorsey, qui a repris le contrôle de son compte un 1/4 d’heure après les premiers messages, plutôt bien informé en matière de cybersécurité, et bien protégé par ses propres services de sécurité IT, avait pourtant pris les mesures nécessaires pour protéger son compte. La technique du « SIM swapping » a été plus forte!
La technique est ancienne, mais son ampleur reste inconnue. On en trouve la trace dans un rapport du ministère Français de l’intérieur sur la cybercriminalité de 2018, mais sans estimation de volume. Des milliers d’attaques ont été recensées au Brésil, au Mozambique, en Inde ou en Espagne (AFP).
Selon l’article, qui cite des chercheurs de Kaspersky, “les systèmes de sécurité de nombreux opérateurs mobiles sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM ». Comme dans la sensibilisation au RGPD que vous avez peut-être suivi, la corruption du personnel facilite la tâche. C’est donc encore une fois de l’intérieur que peuvent provenir les risques.
Comment se prémunir ?
Votre banque a probablement mie en place, non pas une authentification par SMS, mais par son application mobile, installée sur votre smartphon, et qui ne dépend donc pas (complètement) de la carte SIM.
L’essentiel est donc, comme toujours de rester très prudent et de ne pas utiliser de services non fiabilisés.
