Méfiez-vous du SIM Swaping ou du piratage de carte SIM

pirater carte sim
pirater carte sim

Le piratage de carte SIM est-il possible ? La réponse est oui. Les hackers peuvent utiliser une technique appelée SIM Swapping pour pirater votre carte SIM et prendre le contrôle de votre numéro portable.

Les conséquences peuvent être dramatiques, allant du vol de vos informations personnelles et de votre argent à l'usurpation d'identité. Il est donc important de comprendre comment fonctionne le SIM Swapping et comment vous pouvez vous protéger efficacement contre cette menace.

Dans cet article, nous vous expliquerons tout ce que vous devez savoir sur le SIM Swapping, comment il fonctionne et les mesures que vous pouvez prendre pour vous en prémunir.

SIM Swaping, c'est quoi ?

Le "SIM swapping" est une technique de piratage qui permet à un attaquant de prendre le contrôle du numéro de téléphone portable d'une victime. Pour cela, l'attaquant se fait passer pour la victime auprès de son opérateur de téléphonie en utilisant sa carte SIM, qu'il a obtenue frauduleusement.

Lorsque l'attaquant a accès au numéro de téléphone de la victime, il peut l'utiliser pour effectuer des activités malveillantes telles que le vol d'identité ou l'accès à des comptes en ligne sécurisés.

Comment pirater une carte SIM ?

piratage carte SIM
Schéma de piratage de carte SIM

Pour que l'attaque fonctionne, le cybercriminel collectera d'abord des informations sur la victime. Pour cela, il cherche sur le web chaque bribe de données que la victime potentielle peut avoir partagée.

Les informations personnelles de la victime peuvent également être glanées à partir de violations ou de fuites de données connues, ou via des techniques d'ingénierie sociale, telles que le phishing, ou le Footprinting.

Ensuite, le pirate informatique appelle tout simplement l'opérateur en se faisant passer pour sa victime. Puis, il prétexte un problème de carte ou de perte ou autres. Enfin, il demande a l'operateur le transfert de numéro de la victime sur une nouvelle carte SIM.

Mais comment fait-il pour convaincre le service client ?

En vérité, cela est assez simple ! Un peu d'aplomb, de psychologie et quelques infos personnelles sur la victime suffisent pour pirater une carte SIM. Avec la date de naissance, adresse et compte mail, cela est généralement suffisant pour obtenir beaucoup.

Une fois la nouvelle carte reçue, l’attaquant peut simplement l’insérer dans son téléphone et l’activer. Cela a pour effet de désactiver l’ancienne carte, et offre au attaquant la possibilité d’utiliser la nouvelle carte SIM. Ainsi, il pourra réinitialiser l’accès à certains comptes ou encore contourner l’authentification multi-facteurs si celle ci passe par un SMS.

Qu'est-ce qui rend SIM Swaping si dangereuse ?

Déjà, le pirate va donc recevoir vos appels et SMS à votre place. Il pourra même répondre à vos contacts en se faisant passer pour vous. Cette attaque peut avoir des conséquences sur votre vie personnelle et professionnelle.

Si vous utilisez une synchronisation de vos contacts et échanges avec un compte en ligne, il peut même pirater ces derniers et accéder à vos historiques.

Il peut aussi avoir accès à votre vie numérique sur les réseaux sociaux puisque beaucoup proposent d'utiliser le numéro de téléphone comme identifiant secondaire.

Le cofondateur de Twitter victime de SIM Swaping

Pendant l'été 2019, même le cofondateur de Twitter, Jack Dorsey, a été victime de piratage par échange de carte SIM ! Ses 4 millions d'abonnés ont découvert le 30 août des messages insultants et raciste publiés sur son propre compte Twitter. Cela, n'aura duré qu'un quart d'heure, mais cet "exploit" retentissant a révélé au grand public une menace qui existe depuis l'apparition des smartphones.

Pour réussir ce hack, outre le SIM Swapping, les pirates de Chuckling Squad ont utilisé Cloudhopper, un service permettant de tweeter par SMS. Ce dernier vérifie que le SMS a bien été envoyé par le numéro de téléphone rattaché au compte Twitter avant de le publier sous forme de tweet.

Comment se protéger ?

Commencez par limiter les informations personnelles que vous partagez en ligne. Ensuite, évitez de publier votre nom complet, adresse, numéro de téléphone et autres informations sensibles.

Une autre chose que vous devriez éviter est de trop partager des détails de votre vie personnelle. Il est probable que vous en ayez inclus certains aspects dans vos questions de sécurité qui sont utilisées pour vérifier votre identité.

Enfin, même s’il est recommandé d’utiliser la double authentification, mieux vaut désormais éviter celle qui repose sur l’envoi d’un SMS. Au lieu de cela, optez pour l'utilisation d'autres formes d'authentification à deux facteurs, telles qu'une application d'authentification installée sur votre mobile ou sur une clé USB d'authentification.