Méfiez-vous du SIM Swap, technique malveillante qui consiste à voler votre numéro de mobile (et vos données)

Alexandre Boero
Chargé de l'actualité de Clubic
13 juillet 2022 à 15h45
30
© Shutterstock
© Shutterstock

Les attaques de SIM Swap sont, selon les experts en cybersécurité, en pleine croissance. La technique est d'autant plus dangereuse que le grand public n'y est pas encore sensible.

Les cyberattaques qui ciblent les données personnelles ne cessent d'augmenter. Et si les hackers lancent très régulièrement des attaques par phishing, l'écosystème cyber alerte aujourd'hui quant à la montée du SIM Swap, une technique qui consiste pour les attaquants à s'emparer d'un double de la carte SIM mobile d'une victime. L'objectif intéressé est évidemment de s'emparer des données de la cible pour ensuite accéder à son compte bancaire.

Une technique qui permet de passer outre la vérification en deux étapes

Le SIM Swap est une technique qui permet à un pirate informatique d'obtenir un duplicata d'une carte SIM. Celle-ci lui donne ensuite l'opportunité d'accéder aux données personnelles de son propriétaire piégé, comme l'identité et le numéro de téléphone.

Dans un premier temps, les hackers récoltent les données personnelles grâce à des techniques de phishing. À la suite de cela, ils contactent l'opérateur mobile de la victime en se faisant passer pour celle-ci, sur Internet, au téléphone et même parfois en se rendant dans un magasin. Une fois le duplicata de la carte SIM en main, l'escroc l'insère dans un appareil pour accéder à toutes les informations et données de la victime, notamment les registres d'appels et l'historique des messages. Dès lors, il lui est facile d'avoir le contrôle total et d'accéder, par exemple, à l'application bancaire de la victime pour lui dérober son argent. Le risque d'usurpation d'identité est également très important.

Pour cela, le pirate doit évidemment recourir à un code de vérification. Mais vu qu'il a accès à la ligne mobile, il lui suffit juste de copier-coller le code envoyé. Car, oui, le fait de disposer de la carte SIM dupliquée permet de passer outre le processus de vérification en deux étapes.

Une bonne hygiène cyber peut aider à se prémunir du SIM Swap

Il existe tout de même des moyens de se protéger du SIM Swap et de ses conséquences. Le premier consiste, comme nous l'explique Check Point Software, à faire attention à ses données personnelles. Et cela passe par une certaine méfiance vis-à-vis des sites web consultés. Pensez ainsi à vérifier que le cadenas figure toujours dans la barre d'adresse et que l'URL commence bien par « https ».

Comme souvent, il est aussi bon de rappeler qu'il faut se méfier des SMS ou e-mails reçus comportant des fautes d'orthographe, même dans le cas où vous connaissez l'expéditeur. Le nom de domaine a son importance, et il est toujours conseillé de s'assurer qu'il est authentique. Même chose pour les liens et pièces jointes, souvent le signe d'une attaque par hameçonnage.

Enfin, Check Point attire notre attention sur la perte de signal réseau sur votre mobile. « Voilà un moyen facile et sûr de découvrir qu'il y a un doublon de carte SIM », insiste l'entreprise spécialisée dans la cybersécurité. Si, sans que vous puissiez l'expliquer, il ne vous est tout à coup plus possible de passer ou de recevoir des appels ni de recevoir des SMS, contactez les autorités ainsi que votre opérateur afin qu'ils puissent désactiver la carte SIM et démarrer le parcours de récupération de vos données.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (30)

Muggsy68
Va vérifier l’authenticité du lien car tu reçois exclusivement des liens « raccourci »<br /> De plus la double authentification peut se faire via une application et non forcément le fameux sms.<br /> Par contre je ne vois clairement pas comment s’en sortir facilement car j’avais cru comprendre que l’attaque en question permettait un doublon de sim et non une nouvelle SIM désactivant l’ancienne.<br /> Je ne vois pas comment la SIM seule permet d’avoir des infos personnelles sachant que les téléphones n’enregistres plus les contacts sur la SIM depuis bien 10 ans.
crush56
Il faut quand même une sacré détermination pour obtenir la carte sim de quelqu’un.<br /> Par téléphone ils ne font qu’envoyer la nouvelle par la poste (même les e-sim), donc ça suppose d’intercepter le courrier.<br /> Et en boutique ils demandent le passeport, donc là encore ça suppose soit de voler la CI ou le passeport de la personne et espérer lui ressembler, ou bien fabriquer de toute pièce une fausse pièce d’identité.<br /> Donc la partie sur l’hygiène cyber n’est pas vraiment pertinente dans ce cadre, pas besoin de « fisher » qui que ce soit.
Popoulo
@Crush : Exactement.
nauxz
Pas si sûre que çà votre technique, j’ai encore eu l’autre jour une coupure totale de réseau (free) sur ma zone, le téléphone m’indiquait constamment « votre ligne n’est pas enregistrée sur le réseau », çà a duré deux jours et c’est revenu… Heureusement que je n’ai pas appelé les flics pour çà, ils m’auraient sûrement bien reçu
tfpsly
crush56:<br /> Il faut quand même une sacré détermination pour obtenir la carte sim de quelqu’un. […]<br /> La source (Check Point Software) semble américaine, et c’est en effet assez facile là-bas : un coup de téléphone suffit (en étant assez persuasif, social engineering).
DrGeekill
« Voilà un moyen facile et sûr de découvrir qu’il y a un doublon de carte SIM »<br /> Oui et non car le mal est déjà fait. Le gars qui aura dupliqué la carte ne va pas attendre que la victime s’en aperçoive.
jvachez
Récupérer un courrier c’est très simple depuis que les boites peuvent être ouvertes par la poste.
Valmont69
Check Point Software est une entreprise israélienne et parmi les leaders sur le marché de la sécurité informatique. Il y a effectivement des pays dans lesquels il est plus simple que d’autres d’obtenir un double de sa SIM ou une nouvelle SIM.<br /> On peut se dire aussi que Check Point Software a peut-être quelque chose à vendre pour se prémunir de ce genre d’attaques ?
crush56
Evidemment que c’est simple, t’as même pas besoin d’avoir de clé.<br /> Mais il faut quand même être déterminé pour s’amuser à aller tôt le matin chez quelqu’un, attendre le facteur et défoncer (ou ouvrir) sa boite aux lettres.
Wen84
Je vais corriger mon propos pour pas outrer les oreilles sensibles. Mais je persiste, la bonne « hygiène cyber » ne parait me prémunir que moyennement de ce genre d’attaque. La sécurité devrait d’abord venir de celui qui fourni la sim et pas tellement par l’utilisateur par le coup :s
Wen84
Pas que par la poste d’ailleurs
Nmut
Si tu déclares ta SIM en panne, voir ton portable perdu, ta précédente SIM est désactivée (ça m’est arrivé sur un SIM neuve qui avait des ratées, j’ai appelé l’opérateur et elle a été désactivé dans la minute, j’aurais aimé une désactivation à l’installation de la nouvelle! ).<br /> Pour les infos, si tu as la synchronisation active, tu retrouves avec la nouvelle sim pas mal de trucs automatiquement (agenda, contacts, photos, mémos, …), des tas de choses très intéressantes pour une personne mal intentionnée, et si on en arrive là, c’est que cette personne a décidé d’aller jusqu’au bout pour rentabiliser le temps passé!
crush56
Après le risque dans ce cas très précis de vol de sim, c’est davantage le fait d’avoir accès aux appels/sms et donc de pouvoir déjouer les authentifications à double facteur qui utilisent ces communications.<br /> Les infos sur la carte en sim en soit, bof
TheLoy
Il y a des sites web, applis ou extensions de navigateur qui permettent de savoir ce qui se cache derrière un lien court. Je n’en utilise pas régulièrement donc je préfère te laisser te faire ton expérience plutôt que de faire une suggestion à l’arrache.<br /> Sinon j’ai testé dans WhatsApp et il arrive à trouver ce qui se cache derrière un lien Bitly (je ne sais pas si cela fonctionne avec tous les services). Par contre Signal n’a pas réussi.
MattS32
Nmut:<br /> Pour les infos, si tu as la synchronisation active, tu retrouves avec la nouvelle sim pas mal de trucs automatiquement (agenda, contacts, photos, mémos, …)<br /> Non, ça c’est via les comptes Google, Apple et cie associés au smartphone.<br /> La norme SIM ne prévoit absolument aucune récupération de données. Il y a bien des données qui peuvent être stockées dans la SIM (contacts et SMS), mais c’est lié à la SIM physique, pas à la ligne, une nouvelle SIM sur la même ligne sera vierge.<br /> Peut-être que certains opérateurs proposent en plus un service de synchronisation de données en utilisant la SIM comme identifiant, mais perso j’ai jamais vu ça en pratique (j’ai utilisé un temps l’appli d’Orange pour la sauvegarde de certaines données, c’était lié à un compte Orange, l’identification ne passait heureusement pas juste par la SIM).
Nmut
Pardon pour le raccourcis. Effectivement, c’est la récupération du compte et DONC de la synchro qui apporte plein d’infos…
Martin_Penwald
Hé, j’ai pas eu accès au réseau pendant 2 jours, c’est qu’on a copié ma SIM !<br /> Ou alors, soyons fous, c’est peut-être qu’au nord du cercle arctique en Alaska, la couverture réseau est assez nulle.
Yorgmald
ils contactent l’opérateur mobile de la victime en se faisant passer pour celle-ci, sur Internet, au téléphone et même parfois en se rendant dans un magasin.<br /> Donc l’opérateur est pleinement responsable et devrait être inquiété de poursuite judiciaire vu qu’il ne vérifie pas l’identité exact de la personne.<br /> L’utilisateur n’est pas le seul fautif (on peut toujours se faire avoir) mais c’est surtout l’opérateur le fautif.
xavz78
Quid des e-sim ?
luck61
Ouais bon avec free les coupures reseaux , ça fonctionne quand ça veut…ça aurait été Orange je me serais inquiété
luck61
Maintenant avec la nouvelle réglementation les paiments en ligne doivent être validé avec l’application de la banque donc avoir la carte sim ce n’est vraiment pas suffisant en 2022 en France …même avec un compte Nickel il faut valider la transaction sur l’application
Jissou06
Oui un article tiré d’un site américain pas du tout adapté au cas français qui nous intéresse et très alarmiste (de mon point de vue)<br /> D’abord l’échange de carte SIM. Ça existe en France ?<br /> Ensuite en supposant que le bonhomme est récupéré la carte SIM échangé de la victime, qu’est ce qu’il récupère le bonhomme sur son téléphone vierge à lui ou il a mis la SIM ?<br /> Rien comme Data ! Il lui faut soit l’appleID (iPhone) pour récupère les sauvegardes iCloud soit l’identifiant PlayStore<br /> Donc le seul bénéfice obtenu est le 2FA (authentification 2 facteurs) réalisé par la victime et encore uniquement si réalisé par SMS (ce qui est le cas malheureusement des banques)<br /> Et puis il faut aussi le mot de passe : le 1er facteur d’authentification<br /> Et que dire de la remarque: « il faut être vigilant en cas de coupure réseau … » Alors là ça frise la parano ! Si on pense qu’on est piraté des qu’on a une coupure complète du réseau !<br /> Un peu d’esprit critique SVP<br /> Bref ce SIM Swap n’est pas pertinent du tout en France<br /> meme s’il est toujours intéressant d’avoir un point de vue des autres pratiques pour faire évoluer les nôtres et nous sensibiliser sur la vigilance (toujours nécessaire)
jbobby
J’avais vu un reportage il y a longtemps dans un JT de France 2 sur un chef d’entreprise à qui c’était arrivé. C’était certes dans un média généraliste donc pas forcément des plus pertinents, et ils parlaient d’une possible complicité chez l’opérateur. Ensuite, la vérification 2 facteurs est cruciale car les « mots de passe » des accès en ligne aux comptes bancaires sont ridiculement simples, et s’ils étaient vus comme « complexes » à une époque ce n’est plus le cas maintenant. Sans la 2FA c’était même une négligence coupable de la part des banques.
Pierro787
@ jvachez<br /> Ça dépend de la situation des logements:<br /> En pavillon, dans un village tout le monde connaît plus ou moins le facteur. Et les boites aux lettres sont visibles par tous de la rue.<br /> En plus de nombreuses boites aux lettres ne sont pas aux normes de la Poste donc, impossible de les ouvrir avec un pass. Il faut alors la forcer, et aussi savoir précisément quel jour le courrier en question est bien arrivé dans la boîte.<br /> La situation que vous décrivez ne peut fonctionner qu avec une complicité à la Poste avec un facteur qui vole le courrier mais il ne risque pas de le faire longtemps car les plaintes vont affluer sur sa zone de remise du courrier.<br /> Après, je conçois tout à fait que le vol de courrier puisse être bien plus facile dans certains immeubles ou les facteurs eux même n osent plus livrer les colis de peur de se faire agresser.
jvachez
Même pas besoin de la complicité de la poste, les pass PTT sont commandables sur internet en vente libre.
Pierro787
Sauf qu il faut que la boîte aux lettres soit aux normes de la Poste et bcp ne le sont pas, notamment dans les villages ou petites villes. Pas de pass, pas de clés.<br /> Ensuite, ouvrir une boîte aux lettres pour voler le courrier sous les yeux des éventuels passants ou voisins , c est tout sauf discret, encore plus s il y a un chien qui aboie dans le jardin.<br /> Il faut savoir précisément quel jour la lettre est arrivée et attendre la nuit pour ne pas se faire surprendre par les riverains car nous connaissons tous le facteur du village.<br /> La situation dans un village où tout le monde se connaît au moins de vue et dans une ville avec des immeubles où personne ne se connaît est très différente.
Pierro787
Sans complicité à la Poste, on ne peut pas savoir quel jour précisément le courrier en question va arriver dans la boîte aux lettres.<br /> Donc, à partir du moment où la demande de changement de SIM est faite, il faut s amuser à ouvrir la boîte aux lettres tous les jours pour vérifier si le courrier en question est bien arrivé.<br /> Dans un immeuble, ça peut se faire ( et encore si y a pas de caméras vidéo ), mais en pavillon individuel avec jardin et chien qui aboie dès que quelqu’un s arrête devant le portail, j y crois moyen. Surtout si y a du vis à vis des autres voisins.<br /> Dans mon village, le facteur met le courrier de côté si on part en vacances, il pose les colis à un endroit discret et planqué dans le jardin en cas d absence, il est super sympa.<br /> Ce genre de choses est impossible dans un immeuble en ville.
eric29
bonjour , nous venons d être victime de sim sapping - le pire de tout ils ont fait un portage du numéro chez un autre opérateur - et il faut connaitre le nom de l opérateur pour suspendre la ligne - accès compte en banque - et il commence à attaqué la boite mail - avec les deux en main ils ont du coups toutes les sources de vérification d accès au banques …<br /> ET IL N EXISTE AUCUN NUMÉRO D URGENCE GENERALE A TOUT LES OPÉRATEURS VOIR CHEZ L OPÉRATEUR LE DERNIER - POUR CE GENRE DE PROBLÈME - LA RÉPONSE EST/ IL FAUT CONTACTER LE NOUVEL OPÉRATEUR -
Blackalf
7. Soignez votre écriture<br /> Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.<br /> La lecture de la charte du site n’est jamais inutile pour les nouveaux inscrits. <br /> Charte de la communauté Clubic Débat sur l'actu<br /> Charte de la communauté Clubic <br /> Cette charte propose quelques règles de conduite qui favoriseront des échanges respectueux et constructifs entre membres de la communauté. Merci à tous et à toutes de faire votre maximum pour respecter ces consignes. N’hésitez pas à solliciter l’aide des modérateurs si vous estimez que des discussions dépassent les limites fixées par cette charte. <br /> 1. Participez aux discussions <br /> Nous encourageons chacun à exprimer ses idées sur les sujets qui l’intéressent, et à f…<br />
Voir tous les messages sur le forum