Parmi les méthodes utilisées par les fraudeurs et les arnaqueurs en ligne, le SIM swap est la plus récente. Le malfaisant réussit à détourner votre ligne de mobile pour recevoir tous vos appels et SMS de sécurité des sites et applications Internet : ceux des banques par exemple. Comment se protéger de cette nouvelle technique de fraude ? Explications.
Sommaire
- Qu’est-ce que la fraude au SIM swap ?
- Comment les hackers obtiennent-ils un transfert de ligne vers une autre carte SIM et comment déjouent-ils la sécurité de la double authentification ?
- Comment se protéger de cette nouvelle forme de fraude qui utilise la ligne téléphonique de la victime (SMS et appels) ?
La fraude au SIM swap pour les nuls
Le SIM swapping consiste à détourner le numéro lié à la carte SIM de votre téléphone portable ou smartphone, vers une autre carte SIM : celle du fraudeur.
Comment se passe un SIM swapping ?
Pour réussir cette arnaque, le pirate de la carte SIM a besoin :
- Des informations personnelles sur le propriétaire de la puce ;
- De convaincre l’opérateur téléphonique d’attribuer le numéro de la victime à une autre puce.
Trouver des informations personnelles
Pour les informations personnelles, il suffit souvent au pirate de se rendre sur les réseaux sociaux. Cela lui permet de trouver des dates et lieux de naissance, des adresses personnelles et bien d’autres données qui seront utiles pour la deuxième étape : convaincre l’opérateur de téléphonie de transférer la ligne. D’autres moyens sont possibles comme le phishing ou bien l’achat de données personnelles présentes sur le dark Web.
Convaincre l’opérateur téléphonique.
Le point clé d’un SIM swap ce n’est pas l’utilisateur de la ligne mais bien le conseiller de son opérateur téléphonique. En effet, le fraudeur se fait passer pour la future victime pour expliquer que sa carte SIM est défectueuse ou volée, et demander l’attribution de la ligne à une autre SIM. Pour s’assurer que le propriétaire de la ligne est bien à l’origine de cette demande, le téléconseiller pose des questions personnelles : adresse, mail, date de naissance, etc. S’il est convaincu, il réalise le transfert. Le voleur reçoit alors tous vos appels et vos SMS.
Pourquoi détourner une ligne sur une autre carte SIM ?
Pour le voleur, c’est l’ultime clé pour accéder à vos services Internet (banque, réseaux sociaux, mails) et applications. En effet, même si le pirate dispose d’un identifiant et d’un mot de passe, la double authentification lui impose de passer par une autre méthode : souvent, un code reçu par SMS. L’accès aux SMS de la victime est donc primordial dans de nombreux cas. C’est le graal pour une usurpation d’identité ! Par exemple, le fraudeur peut accéder à un compte Google qui, pour un smartphone Android, est la porte d’entrée de beaucoup d’applications, de réseaux sociaux et autres applications de messagerie.
Bon à savoir : même si le mot de passe d’un service est renforcé (plus de 12 caractères, des caractères spéciaux, des majuscules et minuscules…) et que le pirate n’a pas pu le « casser », l’accès aux SMS permet de demander un nouveau mot de passe et de le valider en double authentification.
Comment savoir si l’on est victime d’un SIM swap ?
- Très clairement, vous devez vous inquiéter si vous ne recevez plus de SMS ou d’appels.
- L’autre signal d’alerte est la réception de mails d’information sur la connexion d’autres appareils que le vôtre sur votre ligne.
- Vous pouvez aussi recevoir des messages sur vos réseaux sociaux, des mouvements suspects sur vos comptes bancaires, etc.
Ça arrive aussi aux experts : en août 2019, le compte Twitter de l’ex-patron de réseau social, Jack Dorsey, s’est mis à poster des messages insultants et racistes. Pendant un quart d’heure, un pirate a pu arroser les 4 millions d’abonnés de Dorsey puisqu’il avait pris le contrôle de ce compte via un SIM swapping.
Prévenir et se protéger du SIM swap
Pour l’instant, cette technique de piratage est assez rare en France et en Europe. La plupart des attaques ont été recensées aux États-Unis. Mais, en général, ce qui se passe en Amérique ne reste pas bien longtemps en Amérique et finit par débarquer en France. Il est donc important de prendre en compte cette nouvelle menace cybercriminelle et de se protéger.
- Se méfier des e-mails et des SMS frauduleux. Il peut s’agir d’une première porte d’entrée pour récupérer vos données personnelles. De plus en plus souvent, les opérateurs et les systèmes d’exploitation (Android ou iOS) proposent des services de tri des messages suspects et des spam. Ne les désactivez pas.
- Ne pas laisser de données personnelles publiques sur les réseaux sociaux. Surtout si vos comptes sont accessibles à tous. L’e-mail, la date et le lieu de naissance et l’adresse sont les trois informations que demanderont des téléconseillers pour vérifier que leur interlocuteur est la bonne personne.
- Recevoir des notifications de changement de SIM sur un mail. Cela permet de savoir qu’un SIM swap est en cours. Plus l’opérateur est prévenu rapidement, moins les risques de services piratés sont importants.
- Choisir des services qui utilisent le rappel pour les opérations importantes sur un compte. Veracash, par exemple, vous appelle pour confirmer que vous avez bien fait une demande de retrait. Un délai est aussi prévu avant de réaliser l’opération. Ce délai qui peut « agacer » est en réalité une vraie sécurité pour votre épargne. Il peut en effet vous permettre de vous rendre compte que vous avez été victime d’un SIM swap et de rappeler votre chargé de clientèle pour annuler l’opération.
Les points clés à retenir :
- Le SIM swap consiste à détourner une ligne téléphonique vers une carte SIM tierce.
- Le SIM swapping permet de prendre le contrôle de services et applications même protégés par la double authentification.
- Pour éviter les fraudes de type SIM swap, il faut éviter de rendre publiques ses données personnelles, et mettre en place des outils de notification en cas de modification de carte SIM.
Brand Content Manager at VeraCash.
Curious about everything, especially the economy, its transformations and the impact it has on our societies.
All questions deserve an answer, with insight and knowledge.
Bonjour, Je ne suis pas sur les reseaux sociaux, et utilise Bitdefender pour telephone et pc. Pensez-vous que cela suffit comme protection ?
Merci
Non puisque la faille est côté de l’opérateur dont le service client se fait abuser à votre détriment !