Qu’est-ce que le « SIM swapping » ?

Excellente question, me lanceriez-vous. En effet, cette technique permet de prendre le contrôle d’un numéro de téléphone, ouvrant la porte à différents types de piratages. Par ce terme, et basiquement, se déroule le « vol » des coordonnées téléphoniques du portable de quelqu’un. Chose anodine au demeurant, que votre smartphone peut contenir des cartes bancaires, ou de fidélité, il distille des données de localisation des lieux dits importants, des renseignements vitaux, etc. de tout un chacun.

À cet instant, je vous vois blêmir, et il y a de quoi. De plus, cela ne nécessite pas une grande expertise technique. Dans les cas les plus courants de vol par ledit procédé, un délinquant contacte le service client de votre opérateur, et se fait passer pour vous. En effet, votre numéro est rattaché à une carte SIM (N.D.L.R. de l’anglais : subscriber identity module). Elle est une puce contenant un microcontrôleur et de la mémoire. Elle stocke les informations spécifiques à l’abonné d’un réseau mobile, en particulier pour les réseaux GSM, UMTS et LTE. Cette petite puce dans votre téléphone vous identifie et vous autorise, pour résumer, à vous connecter aux réseaux téléphoniques, 3G, 4G et bientôt 5G.

Vos données personnelles ont de la valeur

Prétextant une quelconque excuse, l’individu demande à activer votre numéro sur une nouvelle carte SIM en sa possession. Pour convaincre le service client au bout du fil, il utilise des informations privées (date de naissance, adresse, numéro de client, etc.), qu’il a pu trouver sur Internet ou par divers moyens. Une fois l’opération réussie, le pirate peut alors recevoir à votre place des appels et des SMS qui vous sont destinés. Auparavant, il aura obtenu vos renseignements personnels par le biais, par exemple, de violations de données, d’hameçonnage, de recherches sur les médias sociaux, d’applications malveillantes, d’achats en ligne, de logiciels malintentionnés, d’infections de réseaux sociaux et autres sites sur l’Internet, etc. L’usurpateur peut désormais recueillir appels, SMS, et accéder aux services bancaires en ligne de la victime…

Que cela permet-il ?

Pour mieux sécuriser leurs différents comptes en ligne (banque, réseaux sociaux…), les usagers sont incités à utiliser un système de double authentification. Donc après avoir entré leurs identifiants (nom et mot de passe) pour se connecter, le dispositif leur envoie un code, souvent par SMS. Nombreuses sont les personnes possédant l’intégralité de leurs vies au sein même du téléphone… c’est là que le « SIM swapping » intervient. Ce qui permet d’accéder à de nombreux types de comptes en ligne, ouvrant la porte à différentes sortes d’escroqueries : usurpation d’identité, chantage ou encore vol d’argent.

100 millions de dollars en cryptomonnaie

Le 9 février 2021, huit malfaiteurs ont été arrêtés (10 au total) par la suite d’une enquête internationale sur une série d’attaques par échange de cartes SIM, touchant des personnes très connues aux États-Unis. Les attaques orchestrées par cette bande criminelle ont visé des milliers de victimes tout au long de l’année 2020, notamment des influenceurs Internet célèbres, des stars du sport, des musiciens et leurs familles. Comme exemple, le cas de Jack Dorsey, un des co-fondateurs de Twitter, qui s’est fait « pirater » son propre compte. Ou encore celui de Michael Terpin, crypto-investisseur et le vol de 23 millions de dollars par la même méthode.

Les criminels auraient volé plus de 100 millions de dollars en cryptomonnaies, à plusieurs milliers d’individus, après avoir accédé illégalement à leurs téléphones. Le coup de filet mondial est la résultante d’une enquête d’un an menée conjointement par les autorités du Royaume-Uni, des États-Unis, de la Belgique, de Malte et du Canada, l’activité internationale étant coordonnée par Europol.

Comment s’en prémunir ?

Rien n’est sécurisé totalement. Pour autant, installer une porte blindée, de dernière génération, à l’entrée de votre domicile, ne vous dispense pas de fermer les fenêtres de derrière ouvertes. Donc Europol conseille de maintenir les logiciels de vos appareils à jour, de ne pas répondre aux courriels suspects et ne communiquez pas par téléphone avec des individus qui vous demandent vos informations intimes. De plus, il exhorte à limiter la quantité de données personnelles que vous partagez sur la toile, d’utiliser une authentification à deux facteurs pour vos services en ligne, plutôt qu’un code envoyé par SMS. Et, dans la mesure du possible, n’associez pas votre numéro de téléphone à des comptes en ligne sensibles.