Nos amis de chez The Register viennent de présenter un nouvel exemple de cybercrime connu sous le nom de SIM swap.
De manière simple, voici comment les événements se déroulent. Un cybercriminel se rend dans un magasin de téléphonie mobile, montre son intérêt pour un nouveau téléphone portable haut de gamme, qu’on lui présente, et ce pour remplacer celui qu’il vient prétendument de perdre.
En effet, il est tombé de sa poche alors qu’il courrait pour attraper le ferry et a finalement sombré dans les eaux du port, pas la peine donc d’essayer de le récupérer, d’ailleurs serait-il encore en état de marche même s’il pouvait être repêché ?
Il sort sa carte de crédit (bien évidement, il se s’agit pas réellement de SA carte de crédit, mais plutôt d’un clone opérationnel de la carte de crédit de quelqu’un d’autre) et “achète” le nouveau téléphone. En fait, il ne l’achète pas.
En des termes non juridiques, il le vole, pour le vendre en ligne l’après-midi même, à la moitié de son prix recommandé, et il trouvera d’ailleurs certainement un acquéreur très rapidement.
Mais ce n’est pas tout : à l’occasion de l’achat de ce nouveau téléphone, il obtient une nouvelle carte SIM pour remplacer celle qui est maintenant perdue au fond du port, car ce nouveau téléphone n’est pas très utile sans son ancien numéro !
Bien sûr, le magasin de téléphonie mobile effectue une vérification d’identité, on n’est jamais trop prudent après tout ! En effet, vous ne voulez pas qu’un imposteur puisse récupérer le numéro de téléphone de quelqu’un d’autre trop facilement !
En réalité, vous devriez être trop prudent : en effet, l’individu en question vient de perdre son téléphone, ne s’attendait donc pas à en avoir besoin d’un nouveau, et n’avait pas son passeport sur lui. Pour l’instant cette situation ne fait pas de lui un potentiel escroc, mais en vérité …
… le vendeur de la boutique de téléphonie sait pertinemment que même les clients honnêtes repartent souvent les mains vides, avec la potentielle vente et la commission avec eux, dès lors que le processus d’achat devient trop compliqué !
Pourquoi utiliser cette technique de SIM swap ?
Notre cybercriminel peut tout simplement doubler ses “bénéfices” : ainsi en plus d’un téléphone volé qu’il peut revendre en ligne sans aucun problème, il détient également la carte SIM d’une autre personne qu’il peut utiliser pour obtenir les codes d’authentification à deux facteurs (2FA) pendant un certain laps de temps.
Bien sûr, il ne s’agit pas de la carte SIM de n’importe qui. Il aura choisi le numéro de téléphone d’une victime dont il détient déjà des informations de connexion tels que les noms d’utilisateur et les mots de passe.
Un SIM swap est donc un moyen simple, et très efficace, pour un cybercriminel de pirater vos comptes en ligne, et ce même après avoir activé le 2FA, au niveau du téléphone, pour plus de sécurité !
Ceci est possible car les numéros de téléphone mobile ne sont pas en réalité des numéros de téléphone : ils ne sont pas liés à votre téléphone mais à votre carte SIM, de sorte que tout processus 2FA qui reposent sur des messages SMS est vulnérable vis à vis d’un SIM swap.
Ironiquement, les cartes SIM elles-mêmes sont très sécurisées : elles sont quasiment impossibles à cloner ou à modifier de manière non officielle.
Mais l’écosystème de la carte SIM, dans son ensemble, a un point faible car presque n’importe quel magasin de téléphonie mobile peut officiellement émettre une carte SIM de remplacement, et où le réseau mobile reliera de fait la nouvelle carte SIM avec un numéro de téléphone existant.
Cela est similaire à un pays qui améliore la sécurité de ses passeports pour les rendre beaucoup plus difficiles à copier, mais n’améliore pas en parallèle la sécurité du processus pour faire une demande de passeport en amont.
Comment repérer un SIM swap ?
Si vous êtes victime d’un SIM swap, vous avez certainement reçu un avertissement préalable : votre téléphone est soudainement HS, car en effet un SIM swap active non seulement la carte SIM nouvellement émise, mais désactive automatiquement l’ancienne en même temps.
Malheureusement, vous risquez de ne pas remarquer que votre téléphone est HS immédiatement, et même lorsque vous vous en rendrez compte, vous ne pouvez pas savoir si cela résulte d’un SIM swap ou bien d’une panne de réseau temporaire.
Finalement, vous allez découvrir le vrai problème, mais à ce moment-là vous ne pouvez pas simplement appeler et signaler le problème, car votre téléphone ne fonctionnera plus !
Pire encore, lorsque vous vous rendez chez votre fournisseur de téléphone mobile, ils pourraient penser que vous êtes l’imposteur, étant donné que vous n’êtes clairement pas la personne qui vient d’échanger la carte SIM !
Pendant ce temps, vous êtes coupés de tous vos comptes protégés via le 2FA, ainsi que de votre propre téléphone, de sorte que vous ne pouvez pas reprendre le contrôle pour évincer le cybercriminel !
NB : Généralement, la première chose qu’un cybercriminel fera avec un accès piraté sera, d’entrer et de modifier tous les paramètres d’authentification et de récupération de compte, afin de vous empêcher le plus possible de reprendre le contrôle sur votre compte, une fois vous être rendus compte de ce qui s’est vraiment passé !
Quoi faire ?
Si vous êtes aux États-Unis, il convient de rappeler que le National Institute for Standards and Technology (NIST) a récemment mis à jour ses “règles pour les mots de passe” officielles, annonçant que le 2FA par téléphone n’est plus considéré comme satisfaisant, du moins pour le secteur public.
Le NIST a estimé que le manque de contrôle sur l’émission de nouvelles cartes SIM, à savoir une action qui peut être entreprise dans presque n’importe quel magasin de téléphonie mobile, signifie qu’elles ne sont tout simplement pas assez fiables et robustes pour résister aux potentielles violations dont peuvent faire l’objet tout système 2FA gouvernemental.
Si vous êtes inquiets concernant les risques du 2FA basé sur les SMS pour vos propres comptes, pensez à passer à une authentification basée sur une application, comme celle intégrée au sein de Sophos Free Mobile Security (disponible pour Android et iOS).
Bien sûr, la sécurité d’une application d’authentification dépend de la sécurité de votre téléphone, car toute personne qui pourra déverrouiller votre téléphone pourra lancer l’application pour générer le prochain code dont vous aurez besoin pour chaque compte.
Assurez-vous de définir un code de verrouillage ou une phrase secrète robuste, et utilisez un modèle de téléphone récent qui est toujours officiellement et activement pris en charge avec des correctifs de sécurité.
De plus, que vous utilisiez le 2FA par SMS ou non, contactez votre fournisseur de services mobiles pour savoir s’il propose une sécurité supplémentaire que vous pourriez appliquer à votre compte de téléphonie mobile.
Cette sécurité supplémentaire sera généralement toujours vulnérable vis-à-vis de l’ingénierie sociale, où un cybercriminel aura le don d’inciter quelqu’un dans l’équipe support à bypasser une ou plusieurs étapes de sécurité importantes, mais cette dernière protection vaut tout de même la peine d’être prise en compte !
Enfin, si votre téléphone devient inutilisable de façon inattendue, surtout lorsque des amis et des collègues sur le même réseau ont une bonne réception et que vous vous attendez donc à avoir la même …
… essayez d’emprunter un téléphone et d’appeler votre fournisseur, au cas où !
Billet inspiré de Two-factor via your mobile phone – should you stop using it ?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.