•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Qu’est-ce qu’un SIM swap et comment s’en protéger?

Le boîtier d'un iPhone SE, avec sa carte SIM exposée.

Le « SIM swap » consiste à se faire passer pour sa victime auprès de son opérateur de téléphonie mobile dans le but de récupérer l’usage de son numéro de téléphone.

Photo : Getty Images / AdrianHancu

Nicholas De Rosa

Bien qu’elle existe depuis plusieurs années, la fraude par carte SIM connue sous le nom de « SIM swap » ou « transfert de SIM » fait beaucoup parler d’elle ces derniers temps. Voici en quoi consiste cette technique de piratage, ainsi que quelques conseils pour vous en prémunir.

Le piratage par transfert de SIM consiste à se faire passer pour sa victime auprès de son opérateur de téléphonie mobile dans le but de récupérer l’usage de son numéro de téléphone.

Le PDG de Twitter, Jack Dorsey, a été victime d’un tel piratage en septembre, et La Presse rapportait, lundi (Nouvelle fenêtre), qu’un jeune Montréalais s'était servi de cette technique pour voler des dizaines de millions de dollars en cryptomonnaie.

Une fois le numéro transféré sur sa carte SIM, le pirate peut facilement déjouer les systèmes d’authentification à double facteur de différentes plateformes, qui demandent à leurs utilisateurs et utilisatrices de valider leur identité avec une série de chiffres envoyés par SMS. La victime perd également l'accès à sa ligne téléphonique.

Concrètement, cela veut dire qu’un pirate pourrait avoir accès à presque n’importe quel compte de sa victime, dont son compte bancaire. Il lui est également possible de changer les mots de passe de sa victime à l’aide de cette technique.

Sécurité défaillante chez les opérateurs

Selon le conseiller en sécurité et cofondateur du festival de pirates informatiques Hackfest, Patrick Mathieu, les opérateurs de téléphonie mobile n’en font pas assez pour protéger leur clientèle des fraudes par carte SIM.

Le problème, c’est que, lorsqu’on appelle la compagnie et qu’on se fait passer pour une autre personne, les vérifications sont minimales et inadéquates. Souvent, les questions de sécurité se retrouvent facilement sur les réseaux sociaux ou par ingénierie sociale (manipulation psychologique à des fins d’escroquerie). Ce ne sont pas des choses très confidentielles, commente-t-il.

Les pirates peuvent également trouver les informations personnelles nécessaires pour déjouer la sécurité à l’aide de courriels d’hameçonnage, de logiciels malveillants ou en prenant possession de données volées ou qui ont fuité.

La plupart des opérateurs de téléphonie mobile permettent aux gens de mieux protéger leurs comptes en y ajoutant un mot de passe. Mais ce n’est pas là par défaut, donc, il faut le configurer par nous-mêmes. Et il y a tout de même eu des cas où des fraudeurs ont simplement dit avoir oublié le mot de passe et ont tout de même réussi à transférer le numéro à leur carte SIM, nuance Patrick Mathieu.

L’authentification à double facteur peu sécuritaire

Les plus importants dégâts causés par les fraudes par carte SIM sont liés au système d’authentification à double facteur par SMS, qui permet de valider des comptes et de réinitialiser des mots de passe à l’aide d’un code envoyé par SMS.

Cette méthode de sécurité-là est considérée comme inefficace depuis plusieurs années déjà, parce que dès qu’on a accès au numéro de téléphone, elle ne sert plus à rien. Il faut mettre la faute sur les sites web et les services qui s’en servent encore alors qu’il existe de meilleures méthodes.

Patrick Mathieu, conseiller en sécurité et cofondateur du Hackfest

Il est, par exemple, possible de se servir d’autres systèmes d’authentification par notification mobile, comme le fait Google avec l’application Google Authenticator.

Avec ça, vous recevez une notification sur votre téléphone demandant si c’est bel et bien vous qui s’est connecté et vous pouvez dire non. Ça empêche les gens d’entrer dans vos comptes, même s’ils ont volé votre mot de passe, explique le consultant en sécurité, qui croit fermement qu’il faudrait délaisser le système d’authentification à double facteur par SMS.

Se servir de clés de sécurité physiques serait aussi une solution bien plus sécuritaire.

Comment se protéger

Dans plusieurs cas, nous sommes à la merci des systèmes d’authentification des opérateurs de téléphonie et des plateformes dont nous nous servons, mais plusieurs précautions peuvent être prises pour empêcher, autant que possible, le piratage par transfert de SIM, selon Norton Antivirus.

  • L’activité en ligne : Faites attention aux liens sur lesquels vous cliquez et aux courriels d’hameçonnage. 
  • Sécurité du compte : Ayez un mot de passe fort et difficile à deviner (long, différentes sortes de caractères, etc.). Utilisez des mots de passe différents sur chacun de vos comptes. Assurez-vous que vos questions secrètes sont difficiles à deviner. 
  • Mot de passe d’opérateur : Si votre opérateur de téléphonie mobile vous offre la possibilité de créer un mot de passe de compte, faites-le.
  • Numéro de téléphone : Évitez de vous servir de votre numéro de téléphone comme identifiant ou comme mesure d’authentification pour vos comptes en ligne.
  • Garder vos renseignements personnels personnels : N’affichez pas votre date de naissance sur les réseaux sociaux et ne partagez pas d’autres informations personnelles en ligne.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybersécurité

Techno