L'essentiel à retenir sur le SIM Swapping

Le SIM Swap est une technique de piratage des smartphones qui ne demande pas de connaissance informatique : 

Cette technique contourne les systèmes de sécurité par code de vérification de certains sites web.

Elle consiste notamment à détourner les SMS qui envoie des codes d'identification.

Encore peu répandu en France, le SIM Swap devrait se développer avec le paiement via smartphone.

Il existe déjà des outils et astuces pour s'en prémunir.

En août 2019, les 4,5 millions d’abonnés Twitter de Jack Dorsey restent pantois devant les tweets insultants du cofondateur de Twitter. Son compte utilisateur a en fait été piraté, tout comme celui d’autres célébrités. Même situation sur Instagram ces dernières années. De nombreux influenceurs perdent le contrôle de leurs comptes. Certains se voient même réclamer une rançon pour récupérer leurs identifiants.

Derrière ces piratages impressionnants se cache une manœuvre de cybermalveillance de plus en plus commune : le “SIM Swap”. Cette fraude consiste en fait à jouer sur les mécanismes de double authentification de certains sites internet. Quand un utilisateur veut se connecter à un compte en ligne, il entre un mot de passe, mais aussi un code qui lui a été envoyé par SMS. On appelle cela l'authentification à double facteurs (A2F). Il suffit cependant que ce SMS arrive jusqu’à un hacker pour que l’arnaque se mette en place.

Le SIM Swap repose donc en fait sur les faiblesses du système d’authentification de certains sites : mot de passe et SMS. Il demande également de la part du pirate qu’il soit en mesure de remplacer la carte SIM de sa victime sans que personne ne s’en aperçoive. Au cœur de ce système de hacking, c’est donc la sécurité des procédures des opérateurs de téléphonie mobile qui pose question.

SIM swap : comment fonctionnent les arnaques aux cartes SIM ?

Le SIM Swap est une fraude récente, vu que le gouvernement français ne l'évoque pas vraiment comme une cybermenace avant 2018. Ses mécanismes sont cependant d'autant plus difficiles à contourner qu'ils ne demandent aucune maîtrise informatique. Il suffit d'avoir accès à quelques données personnelles de sa victime, puis de contacter le service client de son opérateur de téléphonie mobile en se faisant passer pour elle.

Définition du SIM Swap, ou le piratage par double authentification

Le “SIM swapping”, ou “Swap de SIM”, ou encore “SIM Swap” est un piratage qui implique les smartphones et les démarches en ligne. Cette arnaque consiste en fait à contourner l’identification que demandent certains sites internet.

Il arrive effectivement régulièrement que les sites web comme ceux des banques, ou les sites e-commerces, réclament un mot de passe, mais aussi un code d'identification. Le consommateur reçoit ce code par SMS, plus rarement par appel. C’est précisément cette double authentification que le SIM Swap permet de pirater.

Le SIM Swapping.

Le SIM Swapping est une technique de piratage de plus en plus présente en France.

Avec le SIM Swap, le hacker récupère le numéro de téléphone de sa victime. Il détourne ainsi ses SMS et ses appels. Il peut donc s'approprier les codes d’identification qui lui sont envoyés.

Cette technique de vol de numéro de téléphone ne demande pas beaucoup de maîtrise informatique. Un simple appel au service client de l'opérateur téléphonique de la victime peut suffire. Le pirate a juste à prétendre à une carte SIM défaillante, perdue ou à un téléphone volé. Le hacker persuade ainsi le téléconseiller d’activer le numéro de téléphone de sa victime sur une nouvelle carte SIM en sa possession.

Il faut pour cela qu’il possède par ailleurs d’autres informations sur le propriétaire du numéro de téléphone. Il peut s'agir de sa date de naissance ou de son adresse. Ces informations sont malheureusement encore faciles à trouver sur Internet. Dès que la manœuvre est close, le hacker reçoit donc tous les appels et les SMS destinés au piraté.

Cette technique de cryptocrime a débuté en 2018. Les autorités chargées de la surveillance des crimes sur les cryptomonnaies n’ont pourtant pas tout de suite perçu la menace. le SIM Swapping devient néanmoins, dès 2019, une des principales voies de piratages informatiques des téléphones portables.

Parrainage SFR
À lire aussiTout savoir sur le piratage mobile dit du phreaking
Lire la suite

Quels sont les types de piratages mobiles dus au SIM Swapping ?

Usurpation d’identité, notamment sur les réseaux sociaux, mais aussi vol et chantage se dressent parmi les utilisations principales que les pirates font du SIM Swapping.

Dans le cas des réseaux sociaux, des cas d’usurpation d’identité ont fait date. Il s’agit notamment de celui de Jack Dorsey, le PDG de Twitter, dont le compte Twitter a été piraté. Les hackers ont ainsi réussi à s’approprier son numéro de smartphone par SIM Swap, et s’en sont servi pour utiliser la fonction “Tweet via SMS” de Twitter.

Cette manœuvre est le fait d’un groupe de pirates informatiques qui se nomme le Chuckling Squad. Ce groupe a fait plusieurs victimes de SIM Swapping. Jack Dorsey, mais aussi Mariah Carey, l’actrice Chloë Grace Moretz et de nombreux influenceurs comptent parmi les personnes piratées.

Il arrive aussi que le SIM Swapping soit utilisé pour dérober de l’argent. En piratant un compte en ligne facile d’accès, comme un compte de réseau social ou d’un site e-commerce, le pirate accède effectivement à certaines données personnelles. Celles-ci lui permettent de fournir les informations demandées aux sites internet qui utilisent des procédures d'authentifications poussées.

Il suffit par ailleurs que le hacker dispose de la carte bancaire du propriétaire du numéro de téléphone qu’il a piraté. Dans ce cas, le pirate peut procéder à une série d'escroqueries bancaires, sans se préoccuper des mesures d'authentification des sites web qu’il pirate. Il est d’ailleurs d’autant moins gêné que, pendant ce temps, la victime ne peut plus passer d’appel depuis sa carte SIM, ni accéder elle-même à ses divers comptes en ligne.

Conseils de MonPetitForfait

Il existe plusieurs indices qui prouvent qu'un smartphone est piraté. Dans le cas du SIM Swapping, le problème prend en général 24 à 48h à apparaître. La victime réalise qu'elle ne reçoit plus d'appels, ni de SMS, ou qu'elle ne parvient plus à se connecter à ses comptes utilisateur en ligne.

Le SIM Swap n'est malheureusement pas la seule méthode de piratage des téléphones mobiles. Il existe donc d'autres signes à identifier comme des menaces potentielles. Parmi eux, le fait de voir apparaître sur le bureau de son smartphone des applications inconnues. Le consommateur doit aussi se méfier s'il reçoit des SMS étranges, qui affichent des liens hypertextes. Il peut aussi rester à l'affût de ses factures mensuelles, et s'intéresser à toute anomalie en la matière.

Comment s'y prennent les pirates pour réaliser un SIM Swapping ?

Il existe une procédure commune à toutes les démarches de piratage par SIM Swapping. Elle consiste à faire croire à l’opérateur de téléphonie mobile qu’un problème de carte SIM impose d’allouer son numéro de téléphone à une autre carte SIM. Pour réussir ce tour de passe-passe, les pirates utilisent trois méthodes.

Contacter le service client de l’opérateur téléphonique de la victime

Pour réussir une manœuvre de SIM Swap en appelant l’opérateur téléphonique de sa victime, le pirate a besoin d’un certain nombre d’informations préalables. Le hacker doit notamment connaître son numéro de téléphone, et l’opérateur qui correspond à sa ligne téléphonique. Il faut aussi qu’il dispose de sa date de naissance et de son adresse, parfois de son numéro client.

Il s’agit là des informations principales que le téléconseiller réclame quand le pirate le contacte au nom de sa victime. Une fois toutes ces informations maîtrisées, le hacker n’a plus aucun mal à se faire passer pour sa victime auprès de l’opérateur. La démarche est d'ailleurs la même quel que soit l’opérateur : Orange, Bouygues, SFR et Free et les opérateurs MVNO.

S'infiltrer dans les bases de données clients

Une manœuvre de SIM Swap encore plus élaborée consiste à se faire passer pour un service de dépannage à distance auprès des téléconseillers de l’opérateur. Les employés des centres d’appel ou des magasins physiques de l'opérateur se retrouvent ainsi face à un problème informatique qu’ils ne peuvent résoudre, en fait provoqué par un pirate.

De façon faussement providentielle, un pseudo-dépanneur leur propose alors de prendre la main sur leur ordinateur à distance, grâce à un logiciel de Remote Desktop Protocol (RDP). Ce procédé donne aux hackers l'accès aux serveurs internes de l’opérateur téléphonique. Il leur est dès lors aisé de réaliser des opérations de SIM Swapping à grande échelle. Une telle fraude reste bien sûr assez rare.

Avoir un complice chez l’opérateur à pirater

Une dernière opération de piratage de carte SIM par SIM Swap consiste à avoir des taupes en interne chez l’opérateur téléphonique. Le faux employé réalise ainsi lui-même la manœuvre de SIM Swap, et ce directement depuis les centres de données de l’opérateur.

La taupe peut par ailleurs s'avérer être un collaborateur réel de l’opérateur, payé par les pirates. Cette situation a notamment eu lieu dans les bureaux de l'américain Verizon en 2019, où neuf employés ont participé à ce type de fraude.

Dans tous les cas, ce piratage est particulièrement risqué. Les fraudeurs le réservent donc plus à des cas de SIM Swap qui servent à faire chanter de riches victimes en l’échange de rançons. Il reste donc peu probable qu’un individu lambda se retrouve dans cette fâcheuse situation.

SIM Swap : sommes-nous tous concernés ?

En France, les autorités ne perçoivent pas encore le SIM Swap comme le problème le plus redoutable. D'autres arnaques liées aux forfaits mobiles eux-mêmes occupent davantage les tribunaux et les Français. Il faut dire que le paiement par smartphone n'est pas encore légion dans l'Hexagone, contrairement à d'autres pays.

Des pays plus touchés que d’autres par le SIM Swap

Pour le moment, il semble que les consommateurs français restent encore peu touchés par les piratages de type SIM Swapping. L’Association Française pour le développement des services et usages Multimédias Multi-opérateurs, l'AF2M, estime ainsi que ce type de fraude reste marginal dans l’Hexagone. Un rapport 2018 du ministère de l’intérieur sur la cybercriminalité mentionne par ailleurs le SIM Swap sans le chiffrer.

En réalité, il semble que les attaques de SIM Swap concernent particulièrement les pays où les paiements par smartphone s’utilisent beaucoup. Des États comme l’Espagne, le Brésil, l’Inde ou encore le Mozambique subissent ainsi plus d’attaques de ce genre que la France.

En juin 2020, la police espagnole a d'ailleurs démantelé un réseau de SIM Swap. Celui-ci a volé près de 600 000 euros cumulés, en réalisant des retraits frauduleux. La police espagnole recense plus de 100 victimes de ce réseau.

Bien que la France ne soit pas encore une des victimes principales de ces arnaques, il convient donc de rester prudent. Les chercheurs de l’entreprise de sécurité informatique Kaspersky estiment effectivement que les systèmes de sécurité des opérateurs mobiles actuels ne suffisent pas à se prémunir des risques. Ils pensent donc que les fraudes de SIM Swap vont se multiplier.

Conseils de MonPetitForfait

La technologie NFC sur Android est notamment celle qui permet les paiements par smartphone. Le Near Field Communication incarne une technologie sans fil, avec laquelle on peut utiliser son téléphone comme une carte bancaire. Elle présente des garanties de sécurité rassurantes, grâce aux normes ISO14443 et FeliCa.

Le NFC peut cependant représenter un danger dans le cas d'un SIM Swap. Celui-ci permet effectivement aux hackers d'obtenir un code secret pour payer sans contact. Dans ces cas-là, mieux vaut opter pour un paiement via empreinte digitale. Il peut aussi être prudent de désactiver le NFC de son smartphone tout le temps où il n'est pas utile.

Quels réseaux sociaux sont visés par les hackers ?

Instagram se présente comme un des réseaux sociaux qui a le plus été piraté par SIM Swap. Des cas connus d'instagramers ont ainsi été victimes de phishing, une forme d'espionnage de téléphone, grâce au SIM Swapping. Kevin Kreider, un influenceur fitness américain, constitue l'une des victimes les plus connues de ce type de pratiques.

D’autres influenceurs Instagram se font par ailleurs voler leurs comptes en l’échange de rançons. Certains pirates s’emparent également de comptes populaires pour les revendre aux plus offrants, généralement en bitcoins.

Réseaux sociaux touchés par le SIM Swap.

SIM Swap : différents réseaux sociaux sont touchés par cette pratique.

Contrainte par cette forme de piratage, la plateforme Instagram a dû mettre en place de nouvelles mesures d'authentification. Celles-ci évitent donc de passer par la traditionnelle double identification “mot de passe puis SMS”. Instagram propose notamment une application dédiée, qui sert à sécuriser son compte utilisateur.

Sur Twitter, un nombre important de personnalités ont également été hackées via SIM Swap. Des célébrités telles que Shane Dawson, James Charles, Mariah Carey et King Bach font partie des victimes. Ces cas s’ajoutent à celui du compte du PDG de Twitter, Jack Dorsey.

Pour contrer ces attaques, Twitter propose deux alternatives à la double identification par mot de passe et SMS. Il s’agit notamment de passer par une application dédiée, comme Instagram, ou d'utiliser une clef de sécurité physique. Cette dernière doit permettre de synchroniser l’ordinateur et le smartphone pour déverrouiller le compte Twitter. Ces deux alternatives n'annulent cependant pas la possibilité de procéder par SMS pour récupérer ses codes d’accès à son compte Twitter. Le SIM Swapping est donc encore possible.

Pirater un téléphone
À lire aussiComment protéger son iphone des piratages ?
Lire la suite

Comment se protéger du SIM swapping ?

La France n’est pas encore la principale victime des tentatives de SIM Swapping. Le succès que connaissent des réseaux sociaux comme Instagram dans l’Hexagone amène pourtant à se méfier. Et ce d’autant plus que le paiement via smartphone, grâce aux puces NFC, tend à se développer au profit d’applis telles que l’Apple Pay ou l’Android Pay. Comment se protéger du SIM Swap dans ces conditions ?

Ce que peut faire le consommateur pour éviter les arnaques à la carte SIM

Les arnaques au SIM Swap relèvent avant tout des faiblesses des systèmes de sécurité des opérateurs de téléphonie. La marge de manœuvre du consommateur est donc assez réduite. Il existe cependant quelques précautions à prendre pour moins s’exposer aux tentatives de hack par SIM Swap.

Vu que le hacker qui veut pirater une carte SIM doit détenir des informations sur sa victime, la première des précautions consiste donc à rester discret en ligne. Beaucoup de réseaux sociaux proposent d’afficher sa date d’anniversaire sur son profil, parfois sa ville de résidence. C’est pourtant via ces informations que le hacker peut se faire passer pour sa victime auprès des services clients des opérateurs.

Les outils qui aident à se protéger du SIM Swapping

Des outils spécifiques aident par ailleurs à se prémunir de certaines attaques au SIM Swap.

Les clés de sécurité dites physiques.

Les clés de sécurité physiques permettent d’authentifier l’utilisateur d’un compte en ligne en tant que propriétaire. Elles viennent s’ajouter au mot de passe pour renforcer la sécurité de ses comptes. Dans ces conditions, impossible, pour le hacker, de se connecter à son compte avec un code qu’il aurait reçu par SMS. Il lui faudrait aussi la clé physique, une vraie clé USB ou Bluetooth, que le propriétaire branche à l’appareil pour accéder à ses comptes.

Les applications pour se prémunir du SIM Swapping.

Les applis comme Google Authenticator permettent de réceptionner les codes d’authentification de façon sécurisée. Lors d’une demande d’authentification A2F, le propriétaire du compte concerné reçoit ainsi une notification qui lui demande de valider qu’il est bien à l'origine de la démarche. Malheureusement, tous les sites internet qui fonctionnent avec des comptes personnels n'utilisent pas encore nécessairement ce type d’applis.

Un numéro virtuel.

il reste également possible, pour les systèmes de double authentification qui passent par des numéros de téléphone, de se créer un numéro virtuel de type VoIP. Celui-ci n’a effectivement aucun lien avec la carte SIM. Si, donc, le hacker pirate la carte SIM en pensant y réceptionner des codes, il ne reçoit en fait rien. C’est le numéro virtuel qui les réceptionne, alertant par la même occasion son propriétaire d’une manœuvre frauduleuse en cours.

Conseils de MonPetitForfait

Pour se procurer un numéro virtuel, deux procédures sont envisageables. Il est soit possible de s’acheter un numéro dit DID – Direct Inward Dialing – auprès d’un prestataire dédié à cela. Une autre solution consiste à utiliser une application destinée à se créer un second numéro. Ce type de numéro virtuel permet en outre de centraliser les appels quand on a plusieurs numéros différents.

Les opérateurs téléphoniques en lutte contre le SIM Swapping

Le SIM Swapping dépend avant tout des faiblesses de sécurité de l’opérateur de téléphonie. Cette fraude ne peut effectivement pas se produire sans que l’opérateur soit, à un moment donné, en communication avec le pirate. Il est pourtant difficile pour les téléconseillers des services clients d’identifier les hackers vocalement.

La lutte contre le SIM Swap.

Les autorités compétentes luttent au quotidien contre le SIM Swap.

Pour parer à cette situation, l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs, l'AF2M, a annoncé depuis 2019 la mise en place d’un système anti-fraude. Cet outil, baptisé SIM Verify se destine à l’ensemble des opérateurs membres de l’association. Il s’agit notamment de l'opérateur Orange, de Bouygues Telecom et de SFR. Free n’en fait pas partie. La logique voudrait cependant que tous les opérateurs adoptent ce mécanisme de protection de leurs clients.

Dans le cas de ce mécanisme anti-piratage précis, il s’agit en fait d’un système d’alerte. Celui-ci s’enclenche dès qu’une demande d’authentification par SMS est demandée alors même que la carte SIM vient d'être changée. L'outil anti-hack juge cette situation alarmante. Il prévient donc l'opérateur, et possiblement aussi les réseaux sociaux concernés par la double authentification demandée.

Adaptateurs de cartes SIM
À lire aussiQuelle est la différence entre les différents formats de carte SIM ?
Lire la suite

Les autres mesures de protection anti-SIM Swap

Des opérateurs ont déjà mis en place des mesures visant à réduire les possibilités d’actions des hackers utilisant le SIM Swapping. Certains procèdent par exemple à la vérification de la géolocalisation des demandes de double authentification suspectes. La démarche de demande de code d'accès se bloque donc si le demandeur ne se localise pas dans le pays de résidence du propriétaire du numéro de téléphone.

D’autres opérateurs ont de leur côté pris le parti de restreindre les accès aux outils qui permettent de remplacer les cartes SIM. Trop souvent piratés, les call centers n’ont donc plus systématiquement le droit de remplacer la carte de SIM d’un soi-disant client. Les collaborateurs autorisés à changer une carte SIM sont en outre formés aux risques de fraudes, pour mieux les identifier.

Cet article vous a-t-il été utile ?
Oui
Non
0 votes

Les bons plans du moment

Forfait Free 80 Go.
Forfait SFR
Forfait 80 Go RED by SFR.
Forfait mobile B&YOU 80 Go.
Forfait B&YOU
Forfait B&YOU