Qu'est-ce que l'échange de carte SIM (SIM-swapping) ?
Le SIM swapping, aussi appelé échange de carte SIM ou encore détournement de carte SIM, est une technique d’ingénierie sociale où des attaquants persuadent un opérateur de téléphonie mobile pour qu’il transfère votre numéro de téléphone sur une autre carte SIM contrôlée par les escrocs.
Votre carte SIM contient des informations permettant à votre opérateur téléphonique de vous identifier, votre numéro de téléphone ainsi que les clés de chiffrement qui authentifient votre connexion à son réseau mobile. Cette puce électronique ne se contente plus de vous permettre de passer des appels : elle est devenue un moyen d’accéder à l’authentification à deux facteurs (2FA) pour de nombreux services, à la réinitialisation de mot de passe, aux comptes bancaires en ligne et aux réseaux sociaux.
Ce type de piratage de téléphone ou de ligne téléphonique repose sur le détournement des procédures des opérateurs. Ceux-ci permettent en toute légitimité à leurs clients de transférer leur numéro vers une nouvelle carte SIM en cas de perte ou de changement de téléphone. Les criminels se font alors passer pour le véritable propriétaire afin de détourner ce service à des fins malveillantes. Dès qu’ils ont en main le numéro, ils peuvent alors intercepter tous les appels, SMS et codes de vérification de la victime.
Comment fonctionne le SIM swapping ?
Le SIM swapping repose sur un procédé d’approche progressive en plusieurs étapes, en vue de s’approprier le numéro de téléphone de la cible.
Étape 1 : Collecte d'informations
Les attaquants s’emploient dans un premier temps à récolter un maximum d’éléments sur la personne à cibler. Ils peuvent y arriver par plusieurs moyens : e-mails de phishing, SMS de smishing vous invitant à donner des informations, exploitation de fuites de données, recherches sur les réseaux sociaux ou encore achat d’informations sur le dark web. L’objectif est d’obtenir des éléments comme votre nom, prénom, date de naissance, adresse, votre numéro de sécurité sociale ou encore les réponses à vos questions de sécurité usuelles.
A ce titre, les réseaux sociaux sont de véritables mines d’informations. Sur votre profil, vous pouvez donner beaucoup d’informations sur vous : ainsi, votre date de naissance, votre ville de naissance, le nom de votre animal de compagnie ou de votre école, autant d’anecdotes qui sont souvent retenues comme question pour récupérer l’accès à un profil. En réunissant ces sources, n’importe quelle personne capable de faire quelques recherches peut bâtir un profil précis sur vous sans même vous connaître.
Étape 2 : Usurpation d'identité
Fort de ces informations, l’attaquant contacte le service client de votre opérateur mobile en se faisant passer pour vous. Un scénario est alors inventé, comme un vol, une perte ou une simple casse de l’appareil. Des manœuvres si communes qu’elles n’éveillent pas la méfiance d’un agent du service client qui, tous les jours, traite des dizaines d’autres demandes.
L’assaillant joue l’affect, prétexte l’urgence d’un déplacement professionnel, et met en place un jeu de manipulation qui peut expliquer le contournement de certains mécanismes de sécurité.
Étape 3 : Demande de transfert de carte SIM
L’agent du service client procède à la demande de vérification d’identité. L’opérateur requiert habituellement le nom et prénom, la date de naissance, le code postal ou les réponses aux questions de sécurité récupérées au préalable par l’attaquant. Une fois l’agent convaincu, le transfert se fait en quelques minutes. Le téléphone de la victime se retrouve alors immédiatement sans réseau, alors que celui de l’attaquant s’active avec le numéro usurpé.
Étape 4 : Prise de contrôle des comptes
Dès que le numéro est contrôlé, les attaquants accèdent facilement à l’ensemble des comptes de la victime. Ils se chargent généralement d’accéder en premier à la boîte mail de la personne ciblée, celle-ci constituant une porte d’entrée vers tous les autres comptes. En demandant un code de validation par SMS pour « mot de passe oublié », ils modifient rapidement les mots de passe de la victime, bloquant l’accès à tous ses comptes en ligne.
Les hackers peuvent alors siphonner les comptes bancaires, faire des virements ou transférer des crypto-monnaies en quelques heures seulement. Cette attaque révèle également les dangers des réseaux sociaux, qui peuvent être mis à contribution pour faire tourner des escroqueries auprès de vos contacts ou détruire votre réputation.
Pourquoi le SIM swapping est-il dangereux ?
Le SIM swapping fait des dégâts d’une gravité inouïe car il contourne l’authentification à deux facteurs par SMS, qui est l’une des mesures de sécurité les plus largement déployées. Le principe de l’authentification à deux facteurs est de fournir un niveau de protection supplémentaire au-delà du simple mot de passe, mais la technique du SIM-swapping exploite les failles liées à votre numéro de téléphone pour contourner celle-ci.
Si les hackers prennent le contrôle de votre numéro, tous les comptes qui l’utilisent pour vous authentifier seront à leur portée, ce qui provoque une réaction en chaîne avec plusieurs types de conséquences.
Vol financier
Les dégâts financiers peuvent être absolument catastrophiques. Les banques s’appuient massivement sur les SMS pour la confirmation des opérations importantes et pour permettre les virements. Une fois qu’ils ont pris le contrôle de la connexion du titulaire, les malfaiteurs peuvent dérober directement l’argent de vos comptes bancaires, modifier les plafonds et effectuer des paiements sur Internet. Les applications de paiement mobile, telles que PayPal ou Venmo, permettent aussi un accès immédiat au compte, qui peut alors être vidé en quelques minutes.
Vol de crypto monnaies
Les plateformes d’échanges de crypto-monnaies sont des cibles privilégiées car elles utilisent massivement, pour valider une connexion, l’authentification par SMS. Les transactions en crypto monnaies s’effectuent également sans retour en arrière, dans le cadre d’envois pseudonymes. Ce qui fait qu’en cas de seconds transferts, les actifs sont généralement « perdus » sans moyens d’examen.
Le nombre de cas de pertes de ces actifs se comptent en millions de dollars en quelques minutes.Les cybercriminels exploitent les vulnérabilités pour accéder à des comptes, désactiver les protections et faire immédiatement siphonner les actifs vers des portefeuilles externes. Et, à la différence des comptes en banque, il est rare que la perte en crypto soit remboursée.
Usurpation d'identité
Au-delà des pertes financières immédiates, le SIM swapping ouvre la voie à l’usurpation d’identité. L’accès à vos e-mails permet d’aller chercher des éléments de preuve comme des copies de documents d’identité, des déclarations de revenus, des relevés de compte bancaire, des contrats, etc. Ces éléments permettront ensuite de demander de fausses lignes de crédits, des prêts ou encore des abonnements sous votre propre identité.
La prise de contrôle des réseaux sociaux ajoute une dimension sociale. Les cybercriminels peuvent escroquer vos amis, publier des contenus nuisibles ou tirer parti de contenus pour pratiquer le chantage. La restauration de votre réputation peut être très longue, pouvant prendre des mois voire des années.
Perte d'accès aux comptes
Les victimes se trouvent complètement bloquées lorsque des attaquants ont pris le contrôle de leur numéro de téléphone. Ces derniers changent rapidement tous les mots de passe, modifient les adresses de récupération et désactivent les anciennes méthodes d’authentification.
Cette exclusion vous met dans l’impossibilité de prouver votre identité alors même que tous vos systèmes de vérification se trouvent compromis. Cette immobilisation renforcée et généralisée ne fait qu’amplifier les effets de l’attaque, provoquant des conséquences de grande ampleur et de très longue durée.
Signes avant-coureurs d'un SIM swapping
Identifier rapidement les indices liés à une prise de contrôle est essentiel pour en limiter les dommages. Voici des signaux qui doivent vous alerter immédiatement.
Perte soudaine de réseau mobile : le premier signal d’alarme évident d’un SIM swapping est une disparition subite (et sans explication possible) de votre connexion. Vous ne captez plus qu’un message “Aucun service” sur un mobile qui auparavant fonctionnait parfaitement bien. Cette brusque déconnexion survient logiquement lorsque l’opérateur transfère votre numéro vers la carte SIM de l’assaillant.
Notifications inattendues de réinitialisation de mot de passe : lorsque vous recevez des mails ou notifications d’une demande de réinitialisation de mot de passe pour des comptes que vous n’avez pas essayés de modifier, c’est un signal d’alarme, en particulier si vous en recevez de la part de plusieurs services.
Accès bloqué à vos comptes : si plusieurs sites auxquels vous accédez n’acceptent plus vos mots de passe, vous êtes sans doute victime d’une prise de contrôle de vos comptes. Là encore, c’est d’autant plus inquiétant si le phénomène touche plusieurs services en même temps.
Alertes d'activation de carte SIM non sollicitée : certains opérateurs informent leurs clients d’un changement de SIM par le biais d’un message préventif. Tout message indiquant une nouvelle activation sans demande de votre part est la preuve évidente d’un SIM swapping en cours.
Activité suspecte sur vos comptes : les alertes de connexion ou les modifications de paramètres de sécurité à des heures ou depuis des lieux inhabituels constituent autant de signes d’intrusions.
Comment se protéger contre l'échange de carte SIM
La protection contre les attaques de SIM swapping requiert des solutions techniques, une évolution des comportements et de la rigueur de contrôle.
Utiliser l'authentification à deux facteurs (2FA) via une application ou un dispositif matériel
Pour utiliser l'authentification à deux facteurs (2FA), il est recommandé d’abandonner l’authentification SMS au profit d’applications spécifiques comme Google Authenticator, Microsoft Authenticator ou Authy. Ces dispositifs génèrent des codes de sécurité à usage unique dont l’attaquant ne peut pas s’emparer, même s’il contrôle votre numéro de téléphone.
Pour une sécurité absolue, les clés de sécurité matérielles comme YubiKey sont bien supérieures à d’autres dispositifs. En utilisant un protocole cryptographique, leur forme physique rend inopérants le phishing et l’interception.
Configurer un code PIN ou une protection contre le transfert de carte SIM
Contactez votre opérateur pour bénéficier de protections supplémentaires. Exigez le rajout d’un code PIN personnel devant être fourni avant toute modification de compte, y compris le transfert de votre numéro sur une nouvelle carte SIM. Choisissez un code distinct de tous vos mots de passe pour éviter toute attaque par force brute. Certains opérateurs proposent également des options de blocage de port, qui permettent d’empêcher toute démarche comme le déverrouillage pour procéder à un transfert.
Limiter les informations personnelles en ligne
Moins les attaquants trouvent d’informations sur vous, moins ils sont susceptibles de reconstruire votre profil. Au besoin, auditez vos profils sur les réseaux sociaux et définissez les paramètres de confidentialité les plus restrictifs. Ne divulguez pas votre véritable date de naissance, ni votre adresse exacte, ni toute autre information personnelle susceptible d’être récupérée pour accéder à vos comptes. Faites attention aux tests et autres quiz viraux qui collectent précisément les éléments à utiliser pour les questions de sécurité. Supprimez aussi les comptes inactifs sur d’anciennes plateformes dont les bases de données sont potentiellement piratées.
Utilisez des mots de passe forts et uniques
Utilisez un gestionnaire de mots de passe capable de générer et de conserver en toute sécurité des mots de passe aléatoires complexes. N’utilisez jamais le même identifiant sur plusieurs plateformes et changez régulièrement de mot de passe, surtout sur les comptes sensibles.
Méfiez-vous des tentatives d'hameçonnage
N’ouvrez jamais des liens suspects et n’indiquez jamais d’informations personnelles par mail ou par téléphone. Les institutions dignes de confiance ne vous demanderont jamais de telles informations par ces moyens. En cas de doute, contactez l’organisme en question par ses coordonnées officielles affichées sur son site.
Que faire en cas de SIM swapping ?
Si vous soupçonnez d’être victime de SIM swapping, chaque minute compte. Agir rapidement peut permettre de limiter considérablement les dégâts.
Contactez immédiatement votre opérateur mobile : appelez depuis un autre téléphone et indiquez que vous êtes victime d’un SIM swapping. Demandez à ce que votre numéro soit réactivé sur votre carte SIM légitime et que toutes les autres soient désactivées. Demandez aussi à ajouter les protections maximales sur votre compte.
Sécurisez vos comptes : changez immédiatement les mots de passe de votre messagerie, comptes bancaires, plateformes de cryptomonnaies et réseaux sociaux. Vérifiez les paramètres de sécurité, déconnectez toutes les sessions actives et remplacez l'authentification SMS par une application d'authentification.
Surveillez vos comptes bancaires : passez en revue chacun de vos relevés bancaires pour repérer toute transaction d’origine douteuse. Au besoin, contactez votre banque pour signaler toute anomalie, faites opposition à vos cartes et envisagez éventuellement un gel de votre dossier de crédit.
Signalez les faits aux autorités : déposez plainte auprès des services compétents et prévenez les instances de lutte contre la cybercriminalité. Recueillez tout élément utile à la bonne compréhension de l’incident pour les enquêtes et un processus de dédommagement de vos pertes, via l’assurance notamment.
Avertissez vos contacts : avertissez vos amis, votre famille et vos collègues que vos comptes ont été affectés et que des messages frauduleux peuvent être envoyés en votre nom.
Protégez votre identité en ligne.
Naviguez plus sereinement avec un VPN.
