Méfiez-vous du SIM Swap ou du piratage de carte SIM

pirater carte sim
pirater carte sim

Dernière mise à jour : 14 novembre 2022

Saviez-vous que le piratage de carte SIM est possible ? En effet, les cartes SIM peuvent être détournées pour obtenir un contrôle total d'un numéro portable d'une personne. C'est le principe de SIM Swaping ou l'échange de carte SIM en français.

Face à cette nouvelle menace, il est temps de voir ce qu’est le SIM Swap ? Comment fonctionne-il ? Et comment s’en prémunir ?

SIM Swap, c'est quoi ?

Également connu sous le nom de détournement de carte SIM et de division de carte SIM, c'est une attaque informatique qui consiste à se faire passer pour sa victime et agir en son nom auprès de son opérateur de téléphonie  dans le but  de « voler » son numéro de téléphone portable.

Comment pirater une carte SIM ?

piratage carte SIM
Schéma de piratage de carte SIM

Pour que l'attaque fonctionne, le cybercriminel collectera d'abord des informations sur la victime. Pour cela, il cherche sur le web chaque bribe de données que la victime potentielle peut avoir partagée.

Les informations personnelles de la victime peuvent également être glanées à partir de violations ou de fuites de données connues, ou via des techniques d'ingénierie sociale, telles que le phishing, ou le Footprinting.

Ensuite, le pirate informatique appelle tout simplement l'opérateur en se faisant passer pour sa victime. Puis, il prétexte un problème de carte ou de perte ou autres. Enfin, il demande a l'operateur le transfert de numéro de la victime sur une nouvelle carte SIM.

Mais comment fait-il pour convaincre le service client ?

En vérité, cela est assez simple ! Un peu d'aplomb, de psychologie et quelques infos personnelles sur la victime suffisent pour pirater une carte SIM. Avec la date de naissance, adresse et compte mail, cela est généralement suffisant pour obtenir beaucoup.

Une fois la nouvelle carte reçue, l’attaquant peut simplement l’insérer dans son téléphone et l’activer. Cela a pour effet de désactiver l’ancienne carte, et offre au attaquant la possibilité d’utiliser la nouvelle carte SIM. Ainsi, il pourra réinitialiser l’accès à certains comptes ou encore contourner l’authentification multi-facteurs si celle ci passe par un SMS.

Qu'est-ce qui rend cette attaque si dangereuse ?

Déjà, le pirate va donc recevoir vos appels et SMS à votre place. Il pourra même répondre à vos contacts en se faisant passer pour vous. Cette attaque peut avoir des conséquences sur votre vie personnelle et professionnelle.

Si vous utilisez une synchronisation de vos contacts et échanges avec un compte en ligne, il peut même pirater ces derniers et accéder à vos historiques.

Il peut aussi avoir accès à votre vie numérique sur les réseaux sociaux puisque beaucoup proposent d'utiliser le numéro de téléphone comme identifiant secondaire.

Le cofondateur de Twitter victime de SIM Swap

Pendant l'été 2019, même le cofondateur de Twitter, Jack Dorsey, a été victime de piratage par échange de carte SIM ! Ses 4 millions d'abonnés ont découvert le 30 août des messages insultants et raciste publiés sur son propre compte Twitter. Cela, n'aura duré qu'un quart d'heure, mais cet "exploit" retentissant a révélé au grand public une menace qui existe depuis l'apparition des smartphones.

Pour réussir ce hack, outre le SIM Swapping, les pirates de Chuckling Squad ont utilisé Cloudhopper, un service permettant de tweeter par SMS. Ce dernier vérifie que le SMS a bien été envoyé par le numéro de téléphone rattaché au compte Twitter avant de le publier sous forme de tweet.

Comment se protéger ?

Commencez par limiter les informations personnelles que vous partagez en ligne. Ensuite, évitez de publier votre nom complet, adresse, numéro de téléphone et autres informations sensibles.

Une autre chose que vous devriez éviter est de trop partager des détails de votre vie personnelle. Il est probable que vous en ayez inclus certains aspects dans vos questions de sécurité qui sont utilisées pour vérifier votre identité.

Enfin, même s’il est recommandé d’utiliser la double authentification, mieux vaut désormais éviter celle qui repose sur l’envoi d’un SMS. Au lieu de cela, optez pour l'utilisation d'autres formes d'authentification à deux facteurs, telles qu'une application d'authentification installée sur votre mobile ou sur une clé USB d'authentification.