Quelle est cette arnaque à la carte SIM dont a été victime le P.-D.G. de Twitter ?

Publié le 05 septembre 2019 à 10h25

Le piratage du compte de Jack Dorsey, P.-D.G. de Twitter, a mis en lumière un type de fraude de plus en plus répandu : les arnaques à la carte SIM. Et les conséquences peuvent aller bien au-delà de quelques tweets injurieux ou racistes.

Il y a quelques jours, on apprenait que le P.-D.G. de Twitter, Jack Dorsey, s'était fait pirater son compte... Twitter. Pour y parvenir, les hackers ont utilisé une méthode de plus en plus en vogue : l'arnaque à la carte SIM.

Les limites de l'authentification à deux facteurs

Cette forme de fraude repose sur une faille du système - pourtant censé être particulièrement sécurisé - d'authentification à double facteur. Il consiste pour le pirate à détourner le numéro de téléphone de sa victime, pour le rediriger vers une autre carte SIM, dont il aura l'usage.

Pour y parvenir, deux méthodes ont été relevées. Soit le hacker se fait directement passer pour l'utilisateur auprès de l'opérateur, par exemple après avoir récupéré des informations personnelles, à la suite d'un vol de données. Soit il parvient à soudoyer les employés de l'entreprise téléphonique, moyennant parfois seulement une dizaine de dollars par victime.

Une fois « l'échange de SIM » effectué, il suffit au pirate de profiter du système d'authentification à deux facteurs. Il peut alors recevoir, par SMS, le mot de passe de l'utilisateur ou un code permettant de renouveler les identifiants.

Vol d'argent

Le hacker peut ainsi prendre possession des différents comptes de sa victime sur les réseaux sociaux, comme cela s'est produit avec Jack Dorsey. Mais il peut surtout, dans certains cas, réaliser des paiements par téléphone mobile, voire prendre la main sur des comptes bancaires.

Alors, que faire pour lutter contre cette fraude ? Certains experts en cybersécurité réclament aux entreprises la mise en place de systèmes plus robustes pour s'en prémunir. Les opérateurs pourraient ainsi avoir recours à l'intelligence artificielle pour différencier une demande légitime de transfert de numéro d'une requête frauduleuse. De même, les méthodes d'authentification pourraient faire appel à des clés physiques ou à des applications dédiées, pour éviter de dépendre du SMS.

Ori Eisen, fondateur de Trusona, entreprise spécialisée dans l'authentification sans mot de passe, livre son idée de la solution idéale : « Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »... Voilà une bonne idée.

Source : Capital

Par Bastien Contreras

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

best98

« Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »… ca… c’est vraiment créatif .

GRITI

Un petit article sur le sujet par rapport aux banques:

Peut-on y voir une opportunité pour pousser la sécurisation par la biométrie?

megadub

Ben il y aurait un moyen pas forcément simple mais efficace : l’envoi d’un document d’identité lors de la souscription et une videoconf plutôt qu’un appel voix uniquement pour contrôler la gueule du demandeur.

Sinon, un truc beaucoup plus simple pourrait être l’utilisation d’un authentificateur (le truc qui génère un chiffre aléatoire tous les 20s) logiciel ou matériel que l’opérateur pourrait contrôler.

framug

Non, ça s’appelle une lapalissade

vbond007

Ce type de manip s’appelle “SIM Swap”.
Il existe des solutions pour détecter si cela s’est produit.
En effet, les opérateurs mettent à disposition des acteurs du marché (providers SMS en particuliers) des API qui permettent d’interroger leur système pour savoir si la carte a été récemment changée.
Les Banques, qui passent par ces providers SMS, obtiennent ainsi un score de “confiance” qui, s’il est trop bas, leur permettent de prendre la décision de ne pas envoyer le SMS avec le mot de passe à usage unique (OTP).
Cela est déployé en angleterre et arrive en France et dans plein d’autres pays.
Il sera ainsi possible de continuer à utiliser le SMS pour de l’authentification à double facteur.

vbond007

Cette solution est effectivement pas mal, mais oblige les utilisateurs à télécharger une appli pour l’avoir.
Cela pourrait être installé d’office sur le téléphone dès la sortie d’usine, mais les utilisateurs saurton-ils l’utiliser ou prendront-ils le pli? Et il faut un standard adopté par toutes les banques, services cloud etc… (du moins je crois )

megadub

Ca peut être intégré à l’appli de l’opérateur comme le font les banques

Cmoi

Si la majorité est corrompue dans le circuit : Si machin se fait faire en boutique une nouvelle SIM de bidule en échange de 10$. Que faire?

Dernières actualités

La faille de LastPass a permis un nouveau casse de 5,4 millions de dollars

5 jours après sa sortie, l'Alarmo de Nintendo se fait hacker : mais pour quoi faire ?

Ces modders recyclent le défunt Car Thing de Spotify pour en faire un compagnon de bureau

En hackant son imprimante, ce Youtubeur ne se ruinera plus en cartouches d'encre

Le Flipper Zero se met à jour et devient encore plus craquant !

Des millions de cartes sans contact peuvent être piratées en quelques minutes, testez si vous êtes concerné

Des pirates iraniens ont bien tenté de pirater les campagnes de Donald Trump et de Kamala Harris, c'est Google qui le dit

Un bug bounty de 3 millions de dollars chez Kraken prend des allures d'extorsion, mais les cryptomonnaies des clients sont protégées