Avez-vous déjà perdu votre téléphone portable ?
Si c’est le cas, vous savez déjà que votre opérateur de téléphonie mobile se fera un plaisir de vous vendre un nouveau téléphone et vous donnera une nouvelle carte SIM pour l’activer.
Ensuite, lorsque vous activerez le nouveau téléphone, vous garderez votre ancien numéro, ainsi vous n’aurez pas besoin de prévenir vos amis et collègues que vous avez changé de numéro.
Un nouveau téléphone peut prendre en charge votre ancien numéro car le numéro est en fait lié à votre carte SIM. En réalité, la carte SIM est l’abréviation de subscriber identity module, une carte particulière avec une puce intégrée qui stocke en toute sécurité les données confidentielles chiffrées qui identifie votre numéro de téléphone sur le réseau.
Vous devrez peut-être également obtenir une nouvelle carte SIM auprès de votre opérateur si vous passez à un téléphone nécessitant une carte SIM de taille différente de celle de votre téléphone actuel.
En effet, si vous avez déjà effectué un tel changement, vous avez pu constater que l’ancienne carte SIM cesse soudainement de fonctionner, vous laissant dans une situation où seuls les appels d’urgence sont possibles sur votre ancien téléphone…
…et un peu plus tard, la nouvelle carte SIM de votre nouveau téléphone devient active automatiquement, vos appels et autres messages texte commencent enfin à vous parvenir.
Le point important ici est le suivant : la plupart des magasins de téléphones portables peuvent émettre et activer rapidement des cartes SIM de remplacement, engendrant la mise hors service de votre ancienne carte SIM et l’activation de la nouvelle carte SIM qui prendra en charge alors votre identité.
Dans le jargon que vous entendez très souvent le terme SIM swap pour décrire ce processus.
SIM swap et sécurité
Lorsque qu’un individu vole votre téléphone, le SIM swap est un avantage fantastique en matière de sécurité car il rend possible le blocage rapide de la carte SIM au niveau du téléphone volé, empêchant les escrocs en tout genre de passer des appels sur votre compte, ou bien de recevoir des appels privés et des messages qui vous sont en réalité destinés.
Mais si l’escroc en question est un de ceux pratiquant le SIM swap, le SIM swap ayant un sérieux impact au niveau de la sécurité, alors c’est votre téléphone qui est hors service et l’escroc qui accède à tous vos appels et messages entrants !
Vous commencez à comprendre où cela peut mener.
De nombreuses banques et autres services en ligne envoient des SMS ou utilisent les appels vocaux pour vous donner les codes de connexion unique dont vous avez besoin pour effectuer vos transactions sensibles, vous donnant ainsi un niveau de sécurité qui est, du moins en théorie, plus robuste que l’utilisation d’un identifiant et d’un mot de passe.
Le processus qui utilise des codes d’autorisation unique pour chaque connexion ou transaction est connu sous le nom de 2FA ou 2SV, les abréviations de two-factor authentication ou two-step verification, signifiant que votre mot de passe seul ne sert à rien.
En outre, même si un escroc peut voler un de vos codes 2FA ou 2SV, ils ne seront plus valides à la prochaine connexion, contrairement à un mot de passe qui peut être valable pendant des mois ou même des années.
Mais avec un SIM swap frauduleux, les escrocs auront, temporairement du moins, réussi à voler tous vos codes 2FA : celui-ci, le suivant, celui d’après, etc.
Pire encore, un PIN pour votre SIM ou code de verrouillage du téléphone que vous avez mis en place au niveau de votre ancienne carte SIM et de votre téléphone est maintenant inutile : la nouvelle carte SIM aura un code PIN par défaut et votre propre code de verrouillage ne s’appliquera évidemment pas sur le téléphone de l’escroc en question.
Enfin, le pire de tout, votre téléphone est HS, alors vous ne pouvez même pas téléphoner à votre opérateur pour lancer l’alerte !
Pourquoi le SIM swap est crucial
Les escrocs utilisent le SIM swap depuis des années pour commettre des escroqueries en ligne, et ce en utilisant généralement cette opportunité pour :
- Changez au niveau de votre compte, le plus de paramètres possibles au niveau du profil.
- Ajouter de nouveaux comptes bénéficiaires de paiement, qui appartiennent bien sûr à des complices.
- Faire des envois d’argent à partir de votre compte, lequel pourra être rapidement récupéré en espèces, et vous ne le reverrez plus jamais bien entendu !
En modifiant les paramètres de votre compte, ils rendent plus difficile à la fois pour la banque de détecter la fraude, et pour vous de convaincre votre banque qu’un problème est survenu.
Après tout, une fois que le compte a été “récupéré” par quelqu’un d’autre, en apparence avec la mesure de sécurité supplémentaire de type 2FA, vous commencez à ressembler à l’escroc lorsque vous appelez en disant que vous êtes le véritable propriétaire du compte.
Soudainement, le ballon est dans votre camp pour prouver à votre opérateur mobile et à votre banque que c’est vous qu’il faut croire !
Malheureusement, cette arnaque est encore assez répandue pour qu’ActionFraud UK, faisant partie du National Fraud Intelligence Bureau (NFIB), mette en garde à son sujet seulement la semaine dernière.
ActionFraud UK mentionne cette escroquerie sous le nom de SIM splitting, le seul endroit où nous l’avons vu décrite ainsi, mais c’est le même crime : persuader frauduleusement un magasin de téléphonie mobile de renouveler la carte SIM de quelqu’un d’autre, peut-être en utilisant une fausse carte d’identité, ou en devinant les questions de sécurité ou grâce à la complicité d’un employé. En Australie, vous entendrez parfois ce stratagème appelé number porting.
Quoi faire ?
- Faites attention aux emails d’hameçonnage ou aux faux sites web que les cybercriminels utilisent pour récupérer les noms d’utilisateurs et les mots de passe. D’une manière générale, les escrocs utilisant le SIM swap ont besoin d’accéder au final à vos messages texte, ce qui signifie qu’ils ont déjà eu accès à votre numéro de compte, à votre nom d’utilisateur, et à votre mot de passe, etc…
- Évitez les réponses évidentes aux questions de sécurité de votre compte. Pensez à utiliser un gestionnaire de mot de passe pour générer des réponses absurdes et impossible à trouver au genre de questions que les escrocs pourraient deviner à partir de vos comptes sur les réseaux sociaux. Les cybercriminels pourraient penser que votre première voiture était une Toyota, mais ils auront plus de difficulté à deviner qu’il s’agissait d’une
87X4TNETENNBA
. - Utilisez un antivirus on-access (en temps réel) et mettez-le à jour. Un moyen classique utilisé par les escrocs pour deviner les noms d’utilisateur et les mots de passe est l’utilisation d’un malware type keylogger, qui fait profil bas jusqu’à ce que vous visitiez des pages web spécifiques, telles que la page d’ouverture de session de votre banque, et qui se met alors en action pour enregistrer ce que vous saisissez au clavier lors de votre connexion. Un anti-virus en temps réel efficace vous aidera à bloquer des liens web dangereux, des pièces jointes infectées et des téléchargements malveillants.
- Soyez bien attentifs si votre téléphone bascule subitement sur “appels d’urgence uniquement”. Vérifiez avec des amis ou des collègues qui sont sur le même réseau pour voir s’ils ont le même problème. Si vous le souhaitez, empruntez le téléphone d’un ami pour contacter votre opérateur mobile et lui demander de l’aide. Soyez prêts à vous rendre dans un magasin ou dans un point service en personne si vous le pouvez, et munissez-vous d’une pièce d’identité et d’autres éléments permettant de prouver votre identité.
- Envisagez de passer des codes 2FA envoyés par SMS, aux codes générés par une application d’authentification. Cela signifie que les escrocs devront voler votre téléphone et deviner votre code de verrouillage afin d’accéder à l’application qui génère votre séquence unique de codes d’ouverture de session.
Avant de partir, n’oubliez pas que passer d’une authentification par SMS à une authentification par application n’est pas la panacée.
Les malwares sur votre téléphone peuvent forcer l’application d’authentification à générer le prochain jeton, sans que vous en ayez conscience, et les cybercriminels peuvent même vous téléphoner et essayer de vous inciter à leur fournir votre prochain code d’ouverture de session, en prétendant souvent qu’ils font en fait des “contrôles anti-fraude”.
En cas de doute, ne donnez rien !
La traque et la prévention des SIM swap non autorisés sont difficiles, comme nous l’avons mentionné ci-dessus, la plupart des magasins de téléphonie mobile peuvent lancer ce processus, ainsi des opérateurs sans scrupule ou négligents nous mettent en danger. Pour cette raison, le National Institute for Standards and Technology (NIST) américain a récemment publié des nouvelles lignes directrices interdisant l’authentification par SMS pour la fonction publique américaine.
Billet inspiré de Fraudsters draining accounts with ‘SIM swaps’ – what to do, sur Sophos nakedsecurity.