Connexion
Les arnaques à la carte SIM ont pris de l'ampleur ces dernières années, que ce soit pour prendre le contrôle de comptes de personnalités sur les réseaux ou effectuer des achats en ligne.
Le «SIM swap» ou «transfert de SIM» consiste en un vol de carte SIM virtuel : des escrocs se font passer pour quelqu'un d'autre auprès d'un opérateur mobile pour récupérer l'usage de son numéro de téléphone.
Ils exploitent ensuite une faiblesse du système d'authentification à double facteur, qui oblige les utilisateurs de certaines plateforme (sociale, bancaire...) à fournir leur mot de passe ainsi qu'une série de chiffres unique, souvent envoyée par SMS.
Les progrès des technologies en matière d'automatisation peuvent générer des milliards d'appels conçus pour manipuler des consommateurs et les inciter à divulguer des informations ou des mots de passe, explique Ori Eisen, fondateur de Trusona, une entreprise de cybersécurité spécialisée dans l'authentification sans mot de passe.
Les hackers utilisent aussi d'autres méthodes, qui n'impliquent même pas les utilisateurs.
Suite aux larges vols de données privées qui se sont produits ces dernières années, ils ont en effet accès, sur le marché noir du web, à des mines d'informations personnelles qui leur permettent ensuite de piéger les opérateurs.
«Les messageries des téléphones mobiles peuvent être piratées par des moyens techniques sophistiqués, mais aussi simplement en convainquant un opérateur de migrer votre compte vers un autre, sur un téléphone non autorisé», explique R. David Edelman, un ancien conseiller à la Maison blanche qui dirige un centre de recherche sur la cybersécurité au Massachusetts Institute of Technology.
Selon Fabio Assolini and Andre Tenreiro, des chercheurs de l'entreprise de cybersécurité Kaspersky, les systèmes de sécurité de nombreux opérateurs mobiles «sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM», surtout si les pirates parviennent à récupérer des dates de naissance et d'autres données similaires.
Dans un récent article de blog, ils écrivent que dans certains cas des cybercriminels ont corrompu des employés de compagnies téléphoniques - pour seulement 10 ou 15 dollars par victime.
«L'intérêt pour ces attaques est devenu si important chez les cybercriminels que certains revendent ce genre de service à d'autres», relatent les chercheurs.
«Un boulevard s'est ouvert à la fraude», analyse Joseph Hall, du groupe de réflexion Center for Democracy & Technology à Washington.
Il regrette que les opérateurs n'aient pas encore tous adopté des méthodes d'intelligence artificielle qui permettent de faire la différence entre des transferts de carte SIM légitimes, suite à un vol ou une perte d'appareil, par exemple, et des fraudes.
Car les conséquences pourraient dépasser les victimes individuelles. M. Hall donne comme exemple un faux tweet du président, qui pourrait entraîner une chute des marchés financiers.
Il réclame de meilleures manières d'authentifier les utilisateurs, comme des clefs physiques qui se branchent sur les appareils ou des systèmes logiciels comme l'application Google Authenticator.
«Les professionnels de la sécurité doivent admettre que ce qui marchait avant ne marche plus maintenant», abonde Ori Eisen.
Selon lui, paradoxalement, les injonctions à créer des mots de passe de plus en plus longs et complexes ont renforcé le recours aux textos non sécurisés pour l'authentification.
«Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens».
