Piratage Les dangers des arnaques à la carte SIM

Piratage du premier compte Twitter: les dangers des arnaques à la carte SIM

Les usurpations d'identité via des attaques à la carte SIM se multiplient

Photo: AFP/Archives

Le patron de Twitter, Jack Dorsey, a été victime d'une arnaque à la carte SIM qui a permis aux attaquants de poster des messages racistes en son nom

Photo: AFP/Archives

Un vol de carte SIM virtuel peut mener à la perte du contrôle de ses comptes sur les réseaux sociaux ou de son compte bancaire

Photo: AFP/Archives

Piratage du premier compte Twitter: les dangers des arnaques à la carte SIM

Les usurpations d'identité via des attaques à la carte SIM se multiplient

Photo: AFP/Archives

Le patron de Twitter, Jack Dorsey, a été victime d'une arnaque à la carte SIM qui a permis aux attaquants de poster des messages racistes en son nom

Photo: AFP/Archives

Un vol de carte SIM virtuel peut mener à la perte du contrôle de ses comptes sur les réseaux sociaux ou de son compte bancaire

Photo: AFP/Archives

Le piratage bref, mais embarrassant, dont a été victime Jack Dorsey, le patron de Twitter, braque les projecteurs sur les arnaques à la carte SIM, de plus en plus répandues et potentiellement très dangereuses.

Le fondateur du réseau social en est quitte pour quelques railleries suite aux messages insultants ou racistes postés en son nom, mais ce type d'attaque peut avoir des conséquences bien plus graves, du vol de données personnelles à la désinformation.

Le «SIM swap» ou «transfert de SIM» consiste en un vol de carte SIM virtuel: des escrocs se font passer pour quelqu'un d'autre auprès d'un opérateur mobile pour récupérer l'usage de son numéro de téléphone.

Faiblesse du système d'authentification

Ils exploitent ensuite une faiblesse du système d'authentification à double facteur, qui oblige les utilisateurs de certaines plateforme (sociale, bancaire...) à fournir leur mot de passe ainsi qu'une série de chiffres unique, souvent envoyée par SMS.

«Le numéro de téléphone associé au compte a été exposé à cause d'une erreur de sécurité de l'opérateur téléphonique», a expliqué le réseau social, qui assure n'avoir trouvé «aucun signe que les systèmes de Twitter aient été compromis».

Mais «le problème n'est pas réglé», constate Ori Eisen, fondateur de Trusona, une entreprise de cybersécurité spécialisée dans l'authentification sans mot de passe.

Les arnaques à la carte SIM ont pris de l'ampleur ces dernières années, que ce soit pour prendre le contrôle de comptes de personnalités sur les réseaux ou effectuer des achats en ligne.

Selon Ori Eisen, les progrès des technologies en matière d'automatisation peuvent générer des milliards d'appels conçus pour manipuler des consommateurs et les inciter à divulguer des informations ou des mots de passe.

Marché noir

Les hackers utilisent aussi d'autres méthodes, qui n'impliquent même pas les utilisateurs.

Suite aux larges vols de données privées qui se sont produits ces dernières années, ils ont en effet accès, sur le marché noir du web, à des mines d'informations personnelles qui leur permettent ensuite de piéger les opérateurs.

«Les messageries des téléphones mobiles peuvent être piratées par des moyens techniques sophistiqués, mais aussi simplement en convainquant un opérateur de migrer votre compte vers un autre, sur un téléphone non autorisé», explique R. David Edelman, un ancien conseiller à la Maison blanche qui dirige un centre de recherche sur la cybersécurité au Massachusetts Institute of Technology.

«Il ne faut pas plus que quelques minutes de confusion pour commettre un méfait comme celui dont Dorsey a été victime», remarque-t-il.

Des milliers d'arnaques de ce type ont été recensées dans des pays où les paiements par téléphone mobile sont monnaie courante, comme le Brésil, le Mozambique, l'Inde ou l'Espagne.

Selon Fabio Assolini and Andre Tenreiro, des chercheurs de l'entreprise de cybersécurité Kaspersky, les systèmes de sécurité de nombreux opérateurs mobiles «sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM», surtout si les pirates parviennent à récupérer des dates de naissance et d'autres données similaires.

Dans un récent article de blog, ils écrivent que dans certains cas des cybercriminels ont corrompu des employés de compagnies téléphoniques – pour seulement 10 ou 15 dollars par victime.

«L'intérêt pour ces attaques est devenu si important chez les cybercriminels que certains revendent ce genre de service à d'autres», relatent les chercheurs.

Au Brésil, des escrocs ont pris le contrôle de comptes de la messagerie WhatsApp et demandent des «paiements urgents» aux amis de la victime.

«Boulevard»

«Un boulevard s'est ouvert à la fraude», analyse Joseph Hall, du groupe de réflexion Center for Democracy & Technology à Washington.

Il regrette que les opérateurs n'aient pas encore tous adopté des méthodes d'intelligence artificielle qui permettent de faire la différence entre des transferts de carte SIM légitimes, suite à un vol ou une perte d'appareil, par exemple, et des fraudes.

Car les conséquences pourraient dépasser les victimes individuelles. M. Hall donne comme exemple un faux tweet du président, qui pourrait entraîner une chute des marchés financiers.

Il réclame de meilleures manières d'authentifier les utilisateurs, comme des clefs physiques qui se branchent sur les appareils ou des systèmes logiciels comme l'application Google Authenticator.

«Les professionnels de la sécurité doivent admettre que ce qui marchait avant ne marche plus maintenant», abonde Ori Eisen.

Selon lui, paradoxalement, les injonctions à créer des mots de passe de plus en plus longs et complexes ont renforcé le recours aux textos non sécurisés pour l'authentification.

«Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens».

Protégez vos cartes de crédit sans contact!

Voir 15 autres images

Vol de données NFC: protégez vos cartes de crédit sans contact

Le paiement sans contact via carte de crédit fait des émules: des millions de consommateurs utilisent déjà cette technologie pour payer de petits montants en quelques secondes.

Photo: iStock

Les distributeurs de cartes de crédit en font activement la promotion: la plupart des nouvelles cartes de crédit sont équipées d'une puce NFC (Near Field Communication, ou Communication dans un champ proche).

Photo: iStock

Il suffit de chercher le symbole WLAN/Wi-fi pour déterminer si la carte est équipée de la fonctionnalité de paiement sans contact. Il ne reste plus qu'à apposer la carte sur le terminal pour envoyer le paiement. Cependant, ce confort a un prix.

Photo: iStock

Les fraudeurs ont désormais développé de nouvelles méthodes leur permettant d'accéder aux données stockées sur ces cartes équipées de la puce NFC. Ils peuvent ainsi s'enrichir au détriment de la victime.

Photo: iStock

Nous vivons à une époque où l'argent n'est plus dérobé de façon conventionnelle. Il est beaucoup plus lucratif de mettre directement la main sur les informations de la carte de crédit de la victime.

Photo: iStock

Aujourd'hui, grâce aux cartes de crédit équipées du paiement sans contact, cette manipulation dure à peine quelques secondes. Les fraudeurs ont simplement besoin d'un scanner RFID, qu'il est possible de se procurer en ligne pour environ 40 francs.

Photo: iStock

Les données de la carte de crédit de la victime sont captées à travers la poche, le sac à dos ou le porte-monnaie. C'est ainsi que le numéro de carte et la date d'expiration sont transmis au fraudeur.

Photo: iStock

Ces informations sont amplement suffisantes pour passer de petites commandes dans certains magasins en ligne. Ainsi, le criminel peut faire ses emplettes avec les données volées.

Photo: iStock

En outre, il se peut que ce piratage ne nécessite même plus de scanner, étant donné que toujours plus de Smartphones disposent d'une puce NFC intégrée pour pouvoir utiliser le paiement sans contact.

Photo: iStock

On peut imaginer que les fraudeurs utilisent un logiciel malveillant pour déclencher le lecteur NFC, activer la carte de la victime et transférer les données récupérées sur Internet.

Photo: iStock

Si vous remarquez des transactions suspectes sur votre relevé bancaire, contactez immédiatement votre banque ou votre fournisseur de carte afin, si nécessaire, de faire opposition.

Photo: iStock

Néanmoins, comment réagir avant qu'il ne soit trop tard? Au final, le vol de données ne se remarque même pas sur le moment.

Photo: iStock

On peut douter de l'efficacité des coques en aluminium censées protéger des «ondes manipulatrices». Toutefois, dans ce cas de figure, l'aluminium est une bonne solution. Si la carte a été fabriquée en cette matière, le fraudeur n'a aucune chance.

Photo: iStock

Entre-temps, de nouveaux porte-monnaie avec «protection-RFID» intégrée ont vu le jour (Alpine Swiss en a produit un modèle). Le contenu de ces porte-monnaie est protégé du vol de données.

Photo: Alpine Swiss

D'autres documents équipés de la technologie NFC sont vulnérables, tels que le SwissPass émis par les CFF. En revanche, les éventuels fraudeurs ne peuvent rien faire de ces données, vu qu'elles sont sauvegardées par les CFF sur des serveurs sécurisés.

Photo: SBB