Le SIM Swapping, où l’échange de carte SIM, est une méthode de cybermalveillance encore peu répandue. Mais son fonctionnement et ses conséquences graves en font un casse-tête pour la protection des données.
De nombreuses personnalités ont déjà été victime de cette technique, comme le PDG de Twitter Jack Dorsey, la chanteuse Selena Gomez ou encore le riche investisseur en cryptomonnaie Michael Terpin. Le SIM swapping commence à faire parler ces quelques dernières années, et pour cause cette arnaque peu couter très cher.
Les conséquences peuvent être tellement graves qu’il est nécessaire de savoir comment s’en protéger.
Comment fonctionne le SIM Swapping ?
Le principe est simple, en prétextant la perte, un problème de fonctionnement ou encore le vol de votre carte SIM, le pirate demande alors à activer votre numéro sur une nouvelle carte SIM, que lui possède. Pour convaincre le service client au bout du fil, il utilise des informations personnelles récupérées au préalable (date de naissance, adresse, numéro de client, etc.). Une fois l’opération réussie, le pirate peut alors recevoir à votre place des appels et des SMS qui vous sont destinés.
À noter que d’autres techniques de SIM Swapping existent. Par exemple, en soudoyant un employé d’un réseau télécom, ou encore comme expliqué par Motherboard, en prenant le contrôle d’un ordinateur d’un opérateur télécom.
Quelles sont les conséquences ?
Et bien une fois que le hackeur a accès à votre numéro de téléphone, il peut obtenir beaucoup de choses. Par exemple, le téléphone est souvent le moyen utilisé pour faire de la double authentification. Prenons l’exemple de votre banque, ou encore de votre réseau social préféré si encore ici vous avez opté pour la double authentification.
Avec votre numéro de téléphone, le pirate peut se faire passer pour vous très facilement et peut voler toutes les données qui l’intéressent en l’espace de quelques minutes.
À côté de ça, puisque votre ancienne SIM a été désactivée en parallèle, vous n’aurez plus accès à votre réseau téléphonique.
Que faire contre le SIM Swapping ?
La première chose, c’est aux opérateurs téléphoniques de la faire. Ils se doivent de respecter les process à la lettre pour éviter qu’un tierce usurpe votre identité et change votre carte SIM à votre place. En France, l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs, dont font partie Orange, SFR et Bouygues Telecom (mais pas Free) ont annoncé en septembre 2019, le « lancement prochain », d’un outil antifraude commun.
« Il permet aux fournisseurs de service en ligne de savoir si la carte SIM a été changée récemment, et de mieux juger le risque que représenterait une authentification basée sur celle-ci. Si la carte SIM est considérée trop récente, une autre méthode d’authentification pourra toujours être proposée à l’internaute », écrivent-ils.
Si vous pouvez difficilement empêcher le SIM swapping (surtout quand le hacker parvient à soudoyer un employé de l’opérateur télécom), vous pouvez en revanche limiter ces conséquences. La double authentification c’est bien, mais via le SMS nous avons vu que ce n’était pas la méthode la plus sûre. C’est pourquoi nous vous conseillons l’utilisation d’une application tierce comme Google Authenticator ou Authy par exemple.
