Le SIM Swapping, ou l'échange de carte SIM, est une méthode de cybermalveillance relativement peu répandue. Mais son fonctionnement et ses conséquences graves en font un casse-tête pour la protection des données.

Le PDG de Twitter Jack Dorsey, la chanteuse Selena Gomez ou le riche investisseur en cryptomonnaie Michael Terpin en ont été victimes. Le SIM swapping, ou l’échange de carte SIM, fait partie des failles de sécurité informatique régulièrement citées ces dernières années. Elle permet d’obtenir le numéro de téléphone de la victime, souvent utilisé dans la double authentification, la norme de sécurité des comptes et application la plus répandue. Et ainsi accéder à toutes sortes d’informations.

Cette cybermenace est particulière, car elle n’implique pas de manipulation du code informatique. Dans la majorité des cas, le fraudeur va cibler précisément sa victime, et il n’y a que peu de chance pour une personne lambda d’être touchée. De plus, l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs, dont font partie Orange, SFR et Bouygues Telecom (mais pas Free) décrit la fraude comme « marginale  » en France.

Cependant, les conséquences sont telles en cas de SIM swapping, qu’il est nécessaire de savoir comment s’en protéger.

Le contrôle du numéro de téléphone joue un rôle essentiel dans la cybersécurité actuelle. // Source : Christian Wiediger via Unsplash.

Quelles sont les conséquences ?

Le SIM swapping permet au hacker de prendre le contrôle de votre numéro de téléphone. Il s’ouvre ainsi une véritable autoroute vers vos comptes et vos données personnelles. Et pour cause : le numéro de téléphone permet de débloquer certaines procédures de double authentification, le nouveau standard de sécurité sur la majorité des applications et services. Son fonctionnement est simple : en plus du mot de passe, l’application vous demande d’indiquer un numéro généré aléatoirement, qu’elle aura envoyé sur un terminal, le plus souvent votre téléphone. La double authentification permet donc de protéger votre compte contre le vol de vos mots de passe et est extrêmement recommandée.

L’assaillant peut réinitialiser le mot de passe sur votre adresse email,

Mais avec le contrôle de votre numéro de téléphone, l’assaillant peut réinitialiser le mot de passe sur votre adresse email, et ainsi y accéder. Une fois en possession de votre adresse email et de votre numéro de téléphone, il dispose d’un chemin facile vers vos réseaux sociaux ou vos applications comme, par exemple, celle de votre gestionnaire d’énergie. Il lui suffit de réinitialiser tous vos mots de passe. Il peut également usurper votre identité pour obtenir certaines informations de la part de vos contacts. Et ce n’est pas tout : s’il parvient également à dérober vos données bancaires, il pourrait valider un virement d’argent via la procédure 3D Secure.

Une fois le SIM swapping opéré, le hacker peut voler toutes les données qui l’intéressent en l’espace de quelques minutes. Un vrai problème, puisque dans le même temps, votre réseau téléphonique ne fonctionnera plus et vous pourrez difficilement réagir.

Victime de SIM Swapping ? Contactez-nous à l’adresse francois.manens@humanoid.fr, ou via Signal sur demande.

Comment font les hackers ? 

L’objectif pour le hacker est de faire transférer votre numéro de téléphone de la carte SIM qui équipe votre smartphone à une carte SIM en sa possession. Pour y parvenir, les méthodes évoluent constamment.

Passer un appel à votre opérateur télécom

Dans la méthode de SIM swapping la moins élaboré, le hacker va appeler le service d’assistance de votre opérateur de téléphonie mobile (Orange, SFR, Free, Bouygues…). Une fois en contact avec l’opérateur, il se présente sous votre nom, et prétexte la perte de votre carte SIM (par exemple, dans un vol de smartphone). Ensuite, il demande à ce que le numéro soit transféré vers une nouvelle carte SIM, dont il dispose. L’opérateur va lui envoyer un SMS d’activation sur la nouvelle SIM, et le tour est joué : sa SIM est reliée à votre ligne téléphonique. En conséquence directe, votre carte SIM est désactivée.

Pour effectuer l’opération, le hacker a donc besoin de réunir certaines informations, en plus d’une carte SIM : votre numéro de téléphone, le nom de votre opérateur, et des données personnelles suffisantes pour valider la procédure de transfert du numéro (adresse, date de naissance…).

Soudoyer un employé de l’opérateur télécom

Pour s’assurer d’une réussite à 100 % de l’opération, certains hackers vont plus loin : ils soudoient les employés des télécoms. L’employé, complice, effectuera l’échange de SIM en toute discrétion. Le site américain Vice évoque des montants entre 500 et 1 000 dollars par numéro. Puisque cette pratique est plus coûteuse et risquée, les hackers visent dans ce cas des victimes qui peuvent leur rapporter gros, afin d’obtenir un retour sur investissement.

La prise de contrôle des ordinateurs de l’opérateur télécom

Le 10 janvier,  Motherboard a exposé une nouvelle technique, encore plus élaborée. Elle consiste à pousser les employés de télécoms, qui travaillent en magasin ou dans les centres d’appel, à utiliser des logiciels de bureaux à distance, appelés Remote Desktop Protocol (RDP). Ils permettent à un utilisateur extérieur de prendre en main un ordinateur, et sont utilisés pour faire de la maintenance informatique ou de l’aide au client à distance. Mais dans notre cas, les employés donnent aux hackers le contrôle de leurs ordinateurs. Les fraudeurs, installés hors des locaux de l’entreprise, ont ainsi accès aux serveurs internes du magasin ou du centre d’appel, et peuvent réaliser eux-mêmes le SIM swapping.

Trois principaux opérateurs américain touchés

Pour convaincre les employés de déclencher le logiciel de bureau à distance, les hackers prétendent travailler pour l’entreprise, ou un de ses sous-traitants, en fournissant par exemple un faux identifiant. Il peuvent également simplement les soudoyer avec des sommes alléchantes.

D’après le site américain, les trois des principaux opérateurs du pays, AT&T, T-Mobile et Sprint ont été touchés, et les hackers ont utilisé un logiciel de bureau à distance différent pour chacun d’entre eux (Opus, QuickView et Splashtop).

Comment s’en protéger ?

La protection doit être assurée par l’opérateur

Pour l’utilisateur, difficile de se protéger du SIM swapping : il peut se faire sans action de sa part. C’est donc principalement aux opérateurs télécoms d’assurer leur protection. En France, l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs, dont font partie Orange, SFR et Bouygues Telecom (mais pas Free) ont annoncé en septembre 2019, le « lancement prochain », d’un outil antifraude commun.

« Il permet aux fournisseurs de service en ligne de savoir si la carte SIM a été changée récemment, et de mieux juger le risque que représenterait une authentification basée sur celle-ci. Si la carte SIM est considérée trop récente, une autre méthode d’authentification pourra toujours être proposée à l’internaute  », écrivent-ils.

Concrètement, ils préviendraient les services qui effectuent une double authentification avec le numéro de téléphone des risques de SIM swapping. Ce serait ensuite à ces entreprises (Facebook, par exemple) de refuser la double authentification avec un numéro qui a trop récemment changé de SIM. L’association n’a pas plus communiqué sur son outil, dont il est difficile d’estimer la potentielle (in)efficacité.

Limiter les conséquences

Si vous pouvez difficilement empêcher le SIM swapping (surtout quand le hacker parvient à soudoyer un employé de l’opérateur télécom), vous pouvez en revanche limiter ces conséquences. Certains services, comme Twitter, Facebook ou la suite Google, permettent d’effectuer la double authentification avec une application d’authentification ou une clé de sécurité, au lieu du numéro de téléphone. Instagram a également changé sa sécurité après avoir subi une vague de hacking. Dans ce cas, le hacker ne pourra donc pas réinitialiser votre mot de passe.

Quand la double authentification requiert un numéro de téléphone, vous pouvez lier votre double authentification à un numéro virtuel (VoIP), sans lien avec une carte SIM, comme celui proposé gratuitement par Google Voice. Vous pouvez protéger l’accès à ce numéro avec un mot de passe unique et une double authentification. Si vraiment vous voulez pousser la sécurité, utilisez un numéro VoIP différent pour chaque compte.

Partager sur les réseaux sociaux