Passer au contenu

Arnaque à la carte SIM : comment éviter que votre numéro de téléphone soit piraté ?

Les arnaques à la carte SIM sont devenues un véritable fléau pour les internautes. En s’emparant de votre numéro de téléphone, un pirate peut violer l’entièreté de votre vie numérique. Surtout, il peut dévaliser votre compte bancaire ou piller vos cryptomonnaies. On fait le point sur les cyberattaques reposant sur le vol d’un numéro de téléphone.

Au cours des dernières années, les attaques de type « SIM Swap » se sont multipliées dans le monde. Une étude de Wich?, un organisme de défense des consommateurs britanniques, indique d’ailleurs que le nombre d’attaques a explosé de 400 % entre 2015 et 2020. En un an, plus de 68 millions de dollars disparaissent dans des arnaques à la carte SIM, met en garde le FBI.

Qu’est-ce qu’une attaque « SIM Swap » ?

Une attaque dite « SIM Swap », ou « échange de carte SIM » en français, est une attaque informatique reposant sur la prise de contrôle d’un numéro de téléphone. La fraude consiste à transférer un numéro sur une autre carte SIM. Dès lors, le cybercriminel est en mesure de recevoir ou d’envoyer des SMS à votre place. De même, il peut utiliser le numéro pour passer des appels téléphoniques ou se balader sur la toile en se servant de l’enveloppe de data attribuée à votre abonnement. Au terme du transfert, le véritable propriétaire de la carte SIM n’est plus capable de se servir de son numéro de téléphone. Il se rend tout à coup compte que la carte a été désactivée à son insu.

Comment se déroule l’attaque ?

Dans un premier temps, le cybercriminel obtient une série de renseignements sur le compte de sa victime. Avec ces données en main, il va entrer en contact avec son opérateur téléphonique. Grâce aux données récupérées, l’attaquant peut usurper votre identité. Pour convaincre l’opérateur télécom, il va notamment se servir de l’adresse de résidence, de la date de naissance ou de l’adresse mail de la cible. Il a pu dénicher ces informations en ligne, sur Facebook ou Instagram, ou par le biais d’une attaque phishing.

Une fois que l’opérateur aura été convaincu, le pirate va réclamer le transfert du numéro de téléphone sur une nouvelle carte SIM. Il va prétexter la perte ou le vol du smartphone, ou le dysfonctionnement de la carte. L’opérateur va alors envoyer une carte SIM, qui sera interceptée par le pirate. Celui-ci peut demander l’envoi de la carte à une autre adresse que la vôtre. Il peut aussi réclamer l’ajout du numéro de téléphone à une carte SIM déjà en sa possession. C’est là que le piège se referme. En attendant que la victime réagisse, l’attaquant va rapidement exploiter le numéro à des fins malveillantes.

Pour orchestrer une attaque SIM Swap, le cybercriminel peut aussi directement pirater votre compte chez votre opérateur téléphonique. Celui-ci va tenter de se connecter à votre compte avec des identifiants volés. Afin de s’authentifier, il va demander l’envoi d’un code sur votre numéro de téléphone. Pour obtenir ce code, le pirate va se faire passer pour votre opérateur et vous téléphoner. Il va vous convaincre de lui communiquer ce code, en prétextant un problème de sécurité par exemple. Une fois qu’il est entré dans le compte, il réclamera la génération d’une carte SIM ou encore d’une eSIM, une carte SIM virtuelle. Dans ce dernier cas de figure, il entrera en nouveau en contact avec vous pour obtenir le nouveau code envoyé par SMS par l’opérateur.

Notez que le monde criminel s’est d’ailleurs récemment mis à orchestrer de plus en plus d’attaques SIM Swap reposant sur l’eSIM. Elles utilisent le plus souvent le processus de remplacement ou de restauration de la carte virtuelle. Là encore, tout commence avec des identifiants volés. Les malfrats accèdent ainsi au portail client de l’opérateur et demandent que le numéro soit transféré sur un nouveau téléphone. L’opérateur envoie alors un QR code. Ce code permet aux criminels de compléter le transfert du numéro.

Enfin, le cybercriminel peut aussi s’appuyer sur le Relevé d’Identifiant Opérateur (RIO), un code unique attribué à chaque ligne téléphonique, qu’elle soit mobile ou fixe, en France. Il permet de transférer votre numéro de téléphone d’un opérateur à un autre tout en conservant le même numéro. Les pirates s’en servent pour souscrire à un autre opérateur, volant ainsi votre numéro. Ce code peut être récupéré en contactant votre télécom.

Quelles sont les conséquences d’un numéro de téléphone piraté ?

Après avoir détourné la carte SIM, le cybercriminel va pouvoir se connecter à tous les services en ligne qui nécessitent un numéro de téléphone. En clair, l’attaquant sera en mesure de contourner l’authentification à deux facteurs. Ce mécanisme de sécurité, largement implémenté par les entreprises de la tech, consiste à réclamer un code de sécurité à l’utilisateur, en complément du traditionnel mot de passe. Bien souvent, ce code est envoyé sur le numéro de téléphone de l’usager.

Dans le cas d’une opération de SIM Swap, le code est donc envoyé directement au cybercriminel. Avec le numéro volé, le pirate va tout simplement pouvoir collecter tous les codes de sécurité transmis par le service. Le code va permettre de convaincre le service en ligne qu’il s’agit bien de vous. Le hacker va ainsi pénétrer au sein de la plateforme ciblée sans le moindre problème. Il suffit que le mot de passe ou l’identifiant soient déjà tombés entre les mains de l’attaquant, par le biais d’une fuite de données par exemple, pour que l’offensive soit rendue possible.

Par ailleurs, il est possible de se servir d’un numéro de téléphone piraté pour prendre le contrôle d’une boîte mail. Le hacker n’a qu’à demander à obtenir un nouveau mot de passe, par exemple sur Gmail, pour obtenir un code par SMS. Comme l’explique le FBI, les criminels vont « envoyer des demandes de “mot de passe oublié” ou de “récupération de compte” à l’e-mail de la victime ». Dès lors, celui-ci disposera d’un accès à votre boîte mail et à vos SMS, ce qui facilite toutes les attaques imaginables.

Les pirates peuvent par exemple se servir de cette astuce pour berner une application bancaire. Lors d’une cyberattaque, les hackers vont d’abord s’emparer de vos coordonnées bancaires, comme votre numéro de carte, votre nom d’utilisation ou votre mot de passe. Ces informations sensibles peuvent être récupérées dans une base de données déjà divulguées ou subtilisée par un logiciel malveillant. Une fois dans le compte, ils vont réaliser des transferts. Les attaquants risquent alors de se heurter aux mécanismes de sécurité de la banque. Certains organismes demandent en effet de valider une transaction importante par le biais d’un code transmis par SMS.

C’est la même chose pour des applications de paiement en ligne, comme PayPal. Le service demande en effet d’entrer un code d’accès envoyé par SMS lors de l’identification. Ce mécanisme anti-fraude est rendu totalement inutile dans le cadre d’une arnaque au numéro de téléphone. Le SIM Swap représente également un grand danger pour les détenteurs de cryptomonnaies. Pour se connecter à de nombreuses plateformes d’échange, comme Binance ou Crypto.com, il est possible de réclamer l’envoi d’un SMS de validation. Là encore, ce SMS est intercepté, ce qui donne au pirate un accès au compte. Il n’a plus qu’à transférer les cryptomonnaies sur une adresse blockchain en son contrôle. Certains transferts devront néanmoins être validés par le biais du système de double authentification. Le hacker n’a qu’à piocher à nouveau dans les SMS reçus.

Au cours des dernières années, les vols de numéro de téléphone ont souvent fait les gros titres. Plusieurs personnalités se sont retrouvées dans le collimateur des pirates spécialisés dans l’échange de carte SIM. C’est le cas du fondateur de Twitter, Jack Dorsey, et du cofondateur de la blockchain Ethereum, Vitalik Buterin. C’est aussi le cas de la Securities and Exchange Commission (SEC), le régulateur de la Bourse aux États-Unis. Suite à une attaque SIM Swap, la SEC avait perdu le contrôle de son compte X.

Pourquoi les attaques se multiplient ?

Comme expliqué plus haut, une attaque SIM Swap repose généralement sur l’exploitation des données personnelles des internautes. Les pirates ont besoin d’une grande quantité d’informations personnelles pour convaincre un opérateur téléphonique de transférer un numéro de téléphone sur une nouvelle carte SIM. Il n’est pas possible de générer une eSIM ou de demander une nouvelle carte SIM sans les données de la victime.

La hausse des attaques SIM Swap est donc fort logiquement liée à l’explosion des fuites de données. Comme l’indique une étude de Surfshark, la quantité de données compromises est en hausse dans le monde entier. La situation est particulièrement préoccupante en France. Au cours du premier trimestre de l’année, plus de 4 millions de comptes de Français ont été affectés par un vol d’informations.

Les experts pointent aussi du doigt certaines fuites de données de grande ampleur. Ces derniers mois, plusieurs entités françaises ont été victimes d’une cyberattaque. Par exemple, les données de plus de 40 millions de Français ont été dérobées lors du piratage de France Travail. Quelques semaines plus tôt, deux opérateurs d’assurance santé, Viamedis et Almerys, ont également été piratés, affectant des dizaines de millions de Français supplémentaires.

Comment se protéger et éviter le piratage de son numéro de téléphone ?

Pour l’internaute qui souhaite protéger son numéro de téléphone, deux grandes mesures s’offrent à lui. Tout d’abord, il doit veiller à limiter la quantité de données disponibles à son sujet sur la toile. Dans cette optique, on vous recommande de prendre des mesures pour améliorer votre hygiène numérique. Choisissez un vrai bon de mot de passe pour chacun de vos comptes en ligne. Ne recyclez jamais un mot de passe. Restez évasif sur les réseaux sociaux. Ne divulguez pas de données sensibles à des sites web ou à des démarcheurs. Comme l’explique Avast, « les institutions légitimes ne vous appelleront jamais pour vous demander des informations privées ».

Par ailleurs, il est possible d’opter pour d’autres méthodes d’authentification à doubles facteurs. Au lieu de demander un SMS de validation, vous pouvez passer par une application comme Google Authenticator. Cette application va vous envoyer des codes de validation, similaires à ceux transmis par SMS. Il suffit de le fournir au service auquel vous souhaitez vous connecter pour prouver votre identité. De même, vous pouvez opter pour une clé de sécurité pour protéger vos comptes, comme la Yubikey. Cette clé physique met des bâtons insurmontables dans les rouges d’un éventuel attaquant.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Florian Bayard