À quel point est-il facile de mener une attaque par échange de carte SIM et que peut faire l'attaquant une fois qu'il a pris le contrôle de votre numéro de téléphone? En bref, c'est d'une facilité inquiétante et les criminels peuvent faire beaucoup de choses une fois qu'ils ont les clés du royaume.
Nous entendons constamment parler de l'échange de cartes SIM - également connu sous le nom de détournement de cartes SIM et d'escroquerie à l'échange de cartes SIM - et pourtant beaucoup de gens pensent que cela ne peut jamais leur arriver. En effet, les gens me disent souvent qu'ils ne seront jamais piratés de quelque manière que ce soit et ils se demandent même pourquoi quiconque les ciblerait. Mais dans les faits, les acteurs de la menace privilégient la force du nombre pour essayer de faire un maximum de victimes. Dans le même état d’esprit, ils vont préférer cibler les cibles les plus faciles à atteindre. Voilà deux excellentes raisons de se préparer et de mettre en œuvre quelques méthodes de précaution pour réduire ce risque.
Je reviendrai plus tard sur ce que vous pouvez faire pour atténuer les risques, mais je veux d'abord vous raconter comment j'ai testé une attaque par échange de cartes SIM, afin d’e démontrer les effets et aider les gens à comprendre les risques. Une histoire vraie est toujours préférable lorsqu'il s'agit d'aider les gens à être plus conscients de la cybernétique. Ainsi, j'ai mené une expérience similaire l'année dernière, en montrant à quel point il est facile de pirater le compte WhatsApp de n'importe qui, dès qu’on connait son numéro de téléphone. C'était une leçon très précieuse pour le collègue devenu victime.
J’ai fait appel à un ami d’enfance - appelons-le Paul – de qui je suis resté proche depuis. Je lui ai demandé récemment si je pouvais tenter de le pirater de manière éthique pour le bien de tous et utiliser tout ce qui en sortirait au nom de la cyberconscience et de la protection des personnes contre de futures attaques. Il a été heureux de m'aider et a même pensé que ce serait amusant de faire partie d'une expérience.
Comment fonctionne le détournement de cartes SIM
Tout ce dont j'avais besoin pour réaliser le test était le vrai nom et le numéro de téléphone de Paul. Paul possède une agence immobilière qui vend des propriétés de luxe dans l'un des endroits les plus chers du Royaume-Uni. Comme pour beaucoup d'autres personnes, ses coordonnées se trouvaient sur son site Web, et avec une bonne vieille recherche sur Internet (ou renseignement d'origine source ouverte, ou OSINT), j'ai pu trouver beaucoup plus.
Agissant comme un véritable acteur de la menace, j'ai enregistré toutes les informations le concernant que j'ai pu trouver en ligne, comme le ferait une tierce partie, sans soumettre de demande d'ami ou de suivi sur ses médias sociaux. Bien que certains acteurs malveillants puissent, en fait, demander une connexion avec leurs cibles, j'ai pensé que cette expérience serait meilleure si je gardais mes distances, car je sais en fait beaucoup de choses sur lui.
Il ne m'a pas fallu longtemps pour trouver une quantité énorme d'informations sur lui, notamment grâce à son flux Instagram public et à ses publications Facebook très ouvertes. J'avais à cœur de localiser les dates et les chiffres qui avaient une signification pour lui, alors j'ai creusé pour trouver les anniversaires et tout ce qui semblait présenter un intérêt chronologique. J'ai rapidement trouvé les dates de naissance de Paul et de son fils - il m'a suffi de regarder plusieurs messages publics qu'il a publiés sur ses réseaux sociaux avant, pendant et après leurs anniversaires. Il ne fallait pas être un génie pour trouver les jours exacts de leur naissance, j'ai donc noté ces dates intéressantes et je suis passé à la partie suivante de l'expérience.
En apprendre davantage : Que faire en cas de perte ou de vol de votre téléphone
Au Royaume-Uni, la plupart des gens utilisent l'une de quelques sociétés de télécommunications ayant les grandes parts du marché. J'ai donc décidé de commencer par l'une d'entre elles. Bingo. J'ai eu de la chance avec la première société, car c'était celle que mon ami utilisait. Après être passé par le système et avoir joint l'agent très serviable, j'ai dit que j'étais Paul et j'ai donné le numéro de téléphone correspondant auquel j'ai dû passer la sécurité. Pour la plupart de ces sociétés de télécommunications, la sécurité consiste à prouver son identité en donnant deux chiffres d'un code PIN convenu au préalable. Beaucoup de gens mémorisent le code PIN de leur carte de crédit ou le code de déverrouillage de leur téléphone, mais cela est dû en grande partie à la mémoire musculaire et à la nécessité d'utiliser activement ces codes.
Cependant, je doute que beaucoup de personnes se connectent assez souvent au compte de leur opérateur téléphonique pour avoir mémorisé ce code. Les gens tombent donc dans le premier piège : utiliser un code PIN pertinent et facilement mémorisable pour eux-mêmes, comme une date de naissance.
Ceci s'est avéré très utile dans mon expérience. Je ne sais pas combien de tentatives d'obtention des bons chiffres sont possibles, mais c'est certainement plus d'une. Il suffit donc de dire que, dans le cadre du processus de vérification, j'ai d'abord soumis « 1 » et « 1 » (le fils de Paul est né en 2011). C'était faux, mais l'agent serviable m'a donné une autre chance. Cette fois, j'ai indiqué « 8 » et « 2 » (Paul est né en 1982), ce à quoi elle a répondu que j'avais passé le contrôle de sécurité et j'ai été invitée à décrire mon problème plus en détail.
J'ai raconté en détail et avec détresse comment mon téléphone avait été volé, qu'il était vital que la carte SIM soit bloquée et que j'avais acheté une nouvelle carte SIM et qu'il fallait donc la transférer. J'avais en main une nouvelle carte SIM prête à être placée dans un téléphone de rechange. J'ai donné à l'agent le nouveau numéro SIM et elle m'a dit que mon numéro serait transféré en quelques heures.
À ce stade, tout ce que Paul aurait remarqué, c'est que le signal de son réseau avait disparu et qu'il n’avait reçu aucun message texte sur son téléphone. Il aurait quand même pu accéder à Internet s'il avait été connecté au Wi-Fi, ce qui était probable sachant qu'il était au bureau lorsque j'ai appelé son opérateur mobile.
Deux heures plus tard, après avoir allumé et éteint mon téléphone de secours à plusieurs reprises, j'ai obtenu un accès complet au numéro de Paul. Je l'ai testé en faisant sonner mon téléphone à partir de mon téléphone de secours et, comme l'avait dit l'agent, cette nouvelle carte SIM dans mon téléphone de secours agissait maintenant comme Paul, puisque son nom apparaissait sur mon téléphone lorsqu'il sonnait. C'est là que les vrais problèmes peuvent commencer pour la victime.
Les conséquences de l'attaque
Je savais que ce n'était qu'une question de temps avant que Paul ne s'aperçoive que quelque chose se passait. Je suis donc allé sur son site Web et j'ai pris en note l'hébergeur, un populaire créateur de sites Web. J'ai pu utiliser son adresse électronique contre le lien « mot de passe oublié » (le bouton préféré des pirates) pour soumettre ma demande et voir ce qui se passerait.
Comme il est moyennement au courant des cyberattaques, il avait mis en place une authentification à deux facteurs (2FA) mais, à ma grande joie, uniquement par SMS – 2e prise. J'ai cliqué sur les pages appropriées et, en quelques secondes, j'ai reçu un code par SMS sur mon téléphone de secours. Je l'ai ressaisi sur le site web et j'ai eu la possibilité de changer illico son mot de passe.
J'aurais pu continuer à poser des actions similaires sur ses médias sociaux et ses e-mails en ligne, mais j'ai pensé que j'avais atteint mon but et j'ai décidé de me retirer. Pendant que j'étais là, j'ai pensé qu'il serait amusant de placer une énorme photo de moi souriant sur sa page d'accueil, ce qui a donné lieu à une discussion intéressante lorsque je l'ai appelé sur son téléphone fixe pour lui dire que son site Web mis à jour avait l'air génial. Inutile de dire qu'il était abasourdi par ce qu'il voyait, mais il était encore plus impressionné par la rapidité avec laquelle j'avais pris le contrôle de ses ressources les plus précieux.
Comment se protéger de la fraude par échange de cartes SIM
Tous ceux qui lisent ces lignes se demandent maintenant comment protéger leurs comptes. Il existe deux moyens principaux de déjouer les attaques par échange de cartes SIM :
- N'utilisez jamais d’informations personnelles dans vos codes PIN ou vos mots de passe.
- Dans la mesure du possible, remplacez le système 2FA par SMS pour une application d'authentification ou une clé de sécurité physique.
Cela m'aurait empêché d'accéder au compte de téléphone portable de Paul, mais surtout, cela m'aurait empêché de changer ses mots de passe. Une fois ceux-ci volés, les cybercriminels peuvent facilement bloquer l'accès aux comptes des véritables titulaires et il peut être extrêmement difficile, voire impossible, d'en reprendre le contrôle. Les conséquences peuvent être particulièrement désastreuses pour vos comptes bancaires, de messagerie et de médias sociaux.
En ce qui concerne Paul, je lui ai redonné accès à sa carte SIM et à son site web, je l'ai aidé à configurer une application d'authentification et il a changé le code PIN de son fournisseur de téléphonie mobile. Je l'ai également aidé à se souvenir de ce code en lui apprenant à utiliser un gestionnaire de mots de passe. Tout aussi important, je lui ai conseillé de ne plus partager d'informations personnelles sensibles sur les médias sociaux et de limiter le nombre de personnes qui peuvent voir ses messages ou d'autres contenus.