Menu Fermer

SIM Swap : piratage téléphone et SMS

Dans cet article, nous allons voir la technique du Sim Port Attack ou SIM swap qui permet de pirater les SMS d’un téléphone.
A partir de là, on peut faire beaucoup de chose comme accéder à des comptes en ligne.
Au moment où sont écrites ces lignes, il y a des chance que vous n’aillez jamais entendu parlé de cette méthode.

Cette méthode consiste à pirater des comptes en ligne à travers le portage de cartes SIM en utilisant l’ingénierie sociale.

Vous trouverez enfin des conseils et parades pour éviter le hack de compte en ligne.

SIM Swap : piratage téléphone et SMS

La double authentification

On protège de nos jours nos comptes en ligne avec la double authentification.
Celle-ci permet même si un pirate récupère votre de mot passe de prévenir de la connexion à un service internet.

Il existe plusieurs méthodes de double authentification parmi elle, le SMS.
Vous enregistre votre Smartphone dans les paramètres du service en ligne.
Puis lorsque vous souhaitez vous connecter à ce dernier, on vous envoie un code par SMS.
Enfin vous devez inscrire ce code sur le service afin de vous y connecter.
Ainsi si un pirate vole votre mot de passe, il doit pouvoir accéder à votre téléphone et lire les SMS.
Cela complique donc beaucoup les choses et protège vos comptes en ligne.

Le SIM Swap : piratage de téléphone

Le principe du SIM Swap est assez simple à comprendre.
L’attaquant tire parti du portage de carte SIM afin de pouvoir lire les SMS d’une victime.
Il s’agit donc de pirater l’accès à un téléphone.

Comment cela fonctionne ?

Dans un premier temps, l’attaque tente de récupérer des données de sa victime comme la date de naissance, lieu de naissance, etc.
Pour cela, les piratages de base de données clients en ligne sont une aubaine.
Ainsi le pirate peut acheter les données à d’autres groupes de cybercriminels.
Parfois même ces données sont en ligne à travers l’application Truecaller.
Sachant que depuis quelques années, cela a explosé.
Dans certains pays cela peut aller jusqu’à la création de faux documents.

Ensuite l’attaquant utilise une attaque par ingénierie sociale.
Pour cela, il contacte l’opérateur téléphone en se faisant passer par la victime.
Il suffit alors de donner de faux prétexte comme le vol ou la perte du téléphone pour demander le portage.
Certains ont très peu de vérification ou des questions assez simples même si les opérateurs commencent à être sensibilités.
Le pirate demande alors le portage de la carte SIM de la victime.
Enfin il peut lire les SMS et ainsi s’authentifier sur son compte en ligne.

SIM Swap : piratage de compte en ligne

En Octobre 2019, le FBI émet une alerte concernant des attaques avec cette technique : FBI warns about attacks that bypass multi-factor authentication (MFA)

Exemple de SIM Swap

Les cybercriminels visent surtout les possesseurs de monnaies virtuelles.

L’article suivant détaille une de ces attaques: The Most Expensive Lesson Of My Life: Details of SIM port hack
La personne dit avoir perdu 100 000$ en 24 heures.

Sim Port Attack ou SIM swap pour voler les comptes en ligne

Dans cet autre article de Novembre 2018, l’arrestation de deux américains d’environ 20 ans qui ont aussi voler des millions de dollars en crypto-monnaie avec le SIM Swap.
Aux USA, un victime a attaqué l’opérateur AT&T à la suite de la perte de millions de dollars.

Cet article plus récent de SecureList où le SIM Swap devient important au Brésil ou au Mozambique.
Dans ce premier, on trouve des victimes comme des hommes politiques avec des pertes financières importantes.
SecureList insiste sur le fait que les vérifications faites par les opérateurs sont faciles à récupérer : date d’anniversaire, etc.
Parfois on demande les 5 derniers appels reçus.
Le cybercriminels payent alors des personnes pour générer des appels en absence dans le pays de la victime.

A partir de là, le cybercriminel peut charger WhatApps pour se faire passer pour la victime auprès de ses contacts et amis.
Il peut alors les faire chanter ou leur demander de l’argent sous différents prétextes (kidnapping, demander un paiement d’urgence, etc).
Pire encore, on peut avec le téléphone avoir accès à des paiements en ligne ou à la banque puisque la validation se fait souvent par SMS.
Au Mozambique le problème devient tellement important qu’ils ont décidé de bloquer les transactions bancaires 48-72h après un portage SIM.

Enfin d’après cet article de ouest-france, des victimes de ces attaques ont eu lieu en France.

Se protéger du SIM SWAP

Il faut abandonner la double authentification par SMS car plus sûr.
Ainsi il faut donc se tourner vers d’autres méthodes.

Google Authenticator

Il s’agit d’une application gratuite qui permet la double authentification.
On installe l’application sur son téléphone puis on enregistre ses services en ligne.
Google génère alors un code temporaire afin de s’identifier sur le compte internet.

Pour plus d’informations : Google Authenticator : protéger ses comptes avec la double authentification

Yubikey

C’est une clé de sécurité qui permet aussi de s’identifier sur vos comptes en ligne.
On enregistre la clé dans les paramètres de connexion du compte puis on utilise celle-ci pour s’identifier.
Cela oblige toutefois à se munir de sa clé à tout moment.

Plus d’informations : Yubikey : sécuriser compte en ligne

Conclusion

Nous conseillons donc d’abandonner la double authentification par SMS car plus risqué.
Toutefois, il faut que le service en ligne propose d’autres modes de connexion.
Au moment où sont écrites ces lignes, certains sont à la traîne.
Par exemple PayPal et Amazon ne propose que la méthode SMS alors qu’ils stockent des données sensibles.

Paypal et double authentification par SMS