Site icon Sophos News

Le SIM swap, une fraude qui peut vider vos comptes : quoi faire ?

sim swap

Avez-vous déjà perdu votre téléphone portable ?

Si c’est le cas, vous savez déjà que votre opérateur de téléphonie mobile se fera un plaisir de vous vendre un nouveau téléphone et vous donnera une nouvelle carte SIM pour l’activer.

Ensuite, lorsque vous activerez le nouveau téléphone, vous garderez votre ancien numéro, ainsi vous n’aurez pas besoin de prévenir vos amis et collègues que vous avez changé de numéro.

Un nouveau téléphone peut prendre en charge votre ancien numéro car le numéro est en fait lié à votre carte SIM. En réalité, la carte SIM est l’abréviation de subscriber identity module, une carte particulière avec une puce intégrée qui stocke en toute sécurité les données confidentielles chiffrées qui identifie votre numéro de téléphone sur le réseau.

Vous devrez peut-être également obtenir une nouvelle carte SIM auprès de votre opérateur si vous passez à un téléphone nécessitant une carte SIM de taille différente de celle de votre téléphone actuel.

En effet, si vous avez déjà effectué un tel changement, vous avez pu constater que l’ancienne carte SIM cesse soudainement de fonctionner, vous laissant dans une situation où seuls les appels d’urgence sont possibles sur votre ancien téléphone…

…et un peu plus tard, la nouvelle carte SIM de votre nouveau téléphone devient active automatiquement, vos appels et autres messages texte commencent enfin à vous parvenir.

Le point important ici est le suivant : la plupart des magasins de téléphones portables peuvent émettre et activer rapidement des cartes SIM de remplacement, engendrant la mise hors service de votre ancienne carte SIM et l’activation de la nouvelle carte SIM qui prendra en charge alors votre identité.

Dans le jargon que vous entendez très souvent le terme SIM swap pour décrire ce processus.

SIM swap et sécurité

Lorsque qu’un individu vole votre téléphone, le SIM swap est un avantage fantastique en matière de sécurité car il rend possible le blocage rapide de la carte SIM au niveau du téléphone volé, empêchant les escrocs en tout genre de passer des appels sur votre compte, ou bien de recevoir des appels privés et des messages qui vous sont en réalité destinés.

Mais si l’escroc en question est un de ceux pratiquant le SIM swap, le SIM swap ayant un  sérieux impact au niveau de la sécurité, alors c’est votre téléphone qui est hors service et l’escroc qui accède à tous vos appels et messages entrants !

Vous commencez à comprendre où cela peut mener.

De nombreuses banques et autres services en ligne envoient des SMS ou utilisent les appels vocaux pour vous donner les codes de connexion unique dont vous avez besoin pour effectuer vos transactions sensibles, vous donnant ainsi un niveau de sécurité qui est, du moins en théorie, plus robuste que l’utilisation d’un identifiant et d’un mot de passe.

Le processus qui utilise des codes d’autorisation unique pour chaque connexion ou transaction est connu sous le nom de 2FA ou 2SV, les abréviations de two-factor authentication ou two-step verification, signifiant que votre mot de passe seul ne sert à rien.

En outre, même si un escroc peut voler un de vos codes 2FA ou 2SV, ils ne seront plus valides à la prochaine connexion, contrairement à un mot de passe qui peut être valable pendant des mois ou même des années.

Mais avec un SIM swap frauduleux, les escrocs auront, temporairement du moins, réussi à voler tous vos codes 2FA : celui-ci, le suivant, celui d’après, etc.

Pire encore, un PIN pour votre SIM ou code de verrouillage du téléphone que vous avez mis en place au niveau de votre ancienne carte SIM et de votre téléphone est maintenant inutile : la nouvelle carte SIM aura un code PIN par défaut et votre propre code de verrouillage ne s’appliquera évidemment pas sur le téléphone de l’escroc en question.

Enfin, le pire de tout, votre téléphone est HS, alors vous ne pouvez même pas téléphoner à votre opérateur pour lancer l’alerte !

Pourquoi le SIM swap est crucial

Les escrocs utilisent le SIM swap depuis des années pour commettre des escroqueries en ligne, et ce en utilisant généralement cette opportunité pour :

En modifiant les paramètres de votre compte, ils rendent plus difficile à la fois pour la banque de détecter la fraude, et pour vous de convaincre votre banque qu’un problème est survenu.

Après tout, une fois que le compte a été “récupéré” par quelqu’un d’autre, en apparence avec la mesure de sécurité supplémentaire de type 2FA, vous commencez à ressembler à l’escroc lorsque vous appelez en disant que vous êtes le véritable propriétaire du compte.

Soudainement, le ballon est dans votre camp pour prouver à votre opérateur mobile et à votre banque que c’est vous qu’il faut croire !

Malheureusement, cette arnaque est encore assez répandue pour qu’ActionFraud UK, faisant partie du National Fraud Intelligence Bureau (NFIB), mette en garde à son sujet seulement la semaine dernière.

ActionFraud UK mentionne cette escroquerie sous le nom de SIM splitting, le seul endroit où nous l’avons vu décrite ainsi, mais c’est le même crime : persuader frauduleusement un magasin de téléphonie mobile de renouveler la carte SIM de quelqu’un d’autre, peut-être en utilisant une fausse carte d’identité, ou en devinant les questions de sécurité ou grâce à la complicité d’un employé. En Australie, vous entendrez parfois ce stratagème appelé number porting.

Quoi faire ?

Avant de partir, n’oubliez pas que passer d’une authentification par SMS à une authentification par application n’est pas la panacée.

Les malwares sur votre téléphone peuvent forcer l’application d’authentification à générer le prochain jeton, sans que vous en ayez conscience, et les cybercriminels peuvent même vous téléphoner et essayer de vous inciter à leur fournir votre prochain code d’ouverture de session, en prétendant souvent qu’ils font en fait des “contrôles anti-fraude”.

En cas de doute, ne donnez rien !

La traque et la prévention des SIM swap non autorisés sont difficiles, comme nous l’avons mentionné ci-dessus, la plupart des magasins de téléphonie mobile peuvent lancer ce processus, ainsi des opérateurs sans scrupule ou négligents nous mettent en danger. Pour cette raison, le National Institute for Standards and Technology (NIST) américain a récemment publié des nouvelles lignes directrices interdisant l’authentification par SMS pour la fonction publique américaine.


Billet inspiré de Fraudsters draining accounts with ‘SIM swaps’ – what to do, sur Sophos nakedsecurity.

Exit mobile version