Méfiez-vous du SIM Swap, technique malveillante qui consiste à voler votre numéro de mobile (et vos données)

13 juillet 2022 à 15h45
29
Carte SIM © shutterstock.com
© Shutterstock

Les attaques de SIM Swap sont, selon les experts en cybersécurité, en pleine croissance. La technique est d'autant plus dangereuse que le grand public n'y est pas encore sensible.

Les cyberattaques qui ciblent les données personnelles ne cessent d'augmenter. Et si les hackers lancent très régulièrement des attaques par phishing, l'écosystème cyber alerte aujourd'hui quant à la montée du SIM Swap, une technique qui consiste pour les attaquants à s'emparer d'un double de la carte SIM mobile d'une victime. L'objectif intéressé est évidemment de s'emparer des données de la cible pour ensuite accéder à son compte bancaire.

Une technique qui permet de passer outre la vérification en deux étapes

Le SIM Swap est une technique qui permet à un pirate informatique d'obtenir un duplicata d'une carte SIM. Celle-ci lui donne ensuite l'opportunité d'accéder aux données personnelles de son propriétaire piégé, comme l'identité et le numéro de téléphone.

Dans un premier temps, les hackers récoltent les données personnelles grâce à des techniques de phishing. À la suite de cela, ils contactent l'opérateur mobile de la victime en se faisant passer pour celle-ci, sur Internet, au téléphone et même parfois en se rendant dans un magasin. Une fois le duplicata de la carte SIM en main, l'escroc l'insère dans un appareil pour accéder à toutes les informations et données de la victime, notamment les registres d'appels et l'historique des messages. Dès lors, il lui est facile d'avoir le contrôle total et d'accéder, par exemple, à l'application bancaire de la victime pour lui dérober son argent. Le risque d'usurpation d'identité est également très important.

Pour cela, le pirate doit évidemment recourir à un code de vérification. Mais vu qu'il a accès à la ligne mobile, il lui suffit juste de copier-coller le code envoyé. Car, oui, le fait de disposer de la carte SIM dupliquée permet de passer outre le processus de vérification en deux étapes.

Une bonne hygiène cyber peut aider à se prémunir du SIM Swap

Il existe tout de même des moyens de se protéger du SIM Swap et de ses conséquences. Le premier consiste, comme nous l'explique Check Point Software, à faire attention à ses données personnelles. Et cela passe par une certaine méfiance vis-à-vis des sites web consultés. Pensez ainsi à vérifier que le cadenas figure toujours dans la barre d'adresse et que l'URL commence bien par « https ».

Comme souvent, il est aussi bon de rappeler qu'il faut se méfier des SMS ou e-mails reçus comportant des fautes d'orthographe, même dans le cas où vous connaissez l'expéditeur. Le nom de domaine a son importance, et il est toujours conseillé de s'assurer qu'il est authentique. Même chose pour les liens et pièces jointes, souvent le signe d'une attaque par hameçonnage.

Enfin, Check Point attire notre attention sur la perte de signal réseau sur votre mobile. « Voilà un moyen facile et sûr de découvrir qu'il y a un doublon de carte SIM », insiste l'entreprise spécialisée dans la cybersécurité. Si, sans que vous puissiez l'expliquer, il ne vous est tout à coup plus possible de passer ou de recevoir des appels ni de recevoir des SMS, contactez les autorités ainsi que votre opérateur afin qu'ils puissent désactiver la carte SIM et démarrer le parcours de récupération de vos données.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
29
22
Muggsy68
Va vérifier l’authenticité du lien car tu reçois exclusivement des liens « raccourci »<br /> De plus la double authentification peut se faire via une application et non forcément le fameux sms.<br /> Par contre je ne vois clairement pas comment s’en sortir facilement car j’avais cru comprendre que l’attaque en question permettait un doublon de sim et non une nouvelle SIM désactivant l’ancienne.<br /> Je ne vois pas comment la SIM seule permet d’avoir des infos personnelles sachant que les téléphones n’enregistres plus les contacts sur la SIM depuis bien 10 ans.
crush56
Il faut quand même une sacré détermination pour obtenir la carte sim de quelqu’un.<br /> Par téléphone ils ne font qu’envoyer la nouvelle par la poste (même les e-sim), donc ça suppose d’intercepter le courrier.<br /> Et en boutique ils demandent le passeport, donc là encore ça suppose soit de voler la CI ou le passeport de la personne et espérer lui ressembler, ou bien fabriquer de toute pièce une fausse pièce d’identité.<br /> Donc la partie sur l’hygiène cyber n’est pas vraiment pertinente dans ce cadre, pas besoin de « fisher » qui que ce soit.
Popoulo
@Crush : Exactement.
nauxz
Pas si sûre que çà votre technique, j’ai encore eu l’autre jour une coupure totale de réseau (free) sur ma zone, le téléphone m’indiquait constamment « votre ligne n’est pas enregistrée sur le réseau », çà a duré deux jours et c’est revenu… Heureusement que je n’ai pas appelé les flics pour çà, ils m’auraient sûrement bien reçu
tfpsly
crush56:<br /> Il faut quand même une sacré détermination pour obtenir la carte sim de quelqu’un. […]<br /> La source (Check Point Software) semble américaine, et c’est en effet assez facile là-bas : un coup de téléphone suffit (en étant assez persuasif, social engineering).
DrGeekill
« Voilà un moyen facile et sûr de découvrir qu’il y a un doublon de carte SIM »<br /> Oui et non car le mal est déjà fait. Le gars qui aura dupliqué la carte ne va pas attendre que la victime s’en aperçoive.
jvachez
Récupérer un courrier c’est très simple depuis que les boites peuvent être ouvertes par la poste.
Valmont69
Check Point Software est une entreprise israélienne et parmi les leaders sur le marché de la sécurité informatique. Il y a effectivement des pays dans lesquels il est plus simple que d’autres d’obtenir un double de sa SIM ou une nouvelle SIM.<br /> On peut se dire aussi que Check Point Software a peut-être quelque chose à vendre pour se prémunir de ce genre d’attaques ?
crush56
Evidemment que c’est simple, t’as même pas besoin d’avoir de clé.<br /> Mais il faut quand même être déterminé pour s’amuser à aller tôt le matin chez quelqu’un, attendre le facteur et défoncer (ou ouvrir) sa boite aux lettres.
Wen84
Je vais corriger mon propos pour pas outrer les oreilles sensibles. Mais je persiste, la bonne « hygiène cyber » ne parait me prémunir que moyennement de ce genre d’attaque. La sécurité devrait d’abord venir de celui qui fourni la sim et pas tellement par l’utilisateur par le coup :s
Wen84
Pas que par la poste d’ailleurs
Nmut
Si tu déclares ta SIM en panne, voir ton portable perdu, ta précédente SIM est désactivée (ça m’est arrivé sur un SIM neuve qui avait des ratées, j’ai appelé l’opérateur et elle a été désactivé dans la minute, j’aurais aimé une désactivation à l’installation de la nouvelle! ).<br /> Pour les infos, si tu as la synchronisation active, tu retrouves avec la nouvelle sim pas mal de trucs automatiquement (agenda, contacts, photos, mémos, …), des tas de choses très intéressantes pour une personne mal intentionnée, et si on en arrive là, c’est que cette personne a décidé d’aller jusqu’au bout pour rentabiliser le temps passé!
crush56
Après le risque dans ce cas très précis de vol de sim, c’est davantage le fait d’avoir accès aux appels/sms et donc de pouvoir déjouer les authentifications à double facteur qui utilisent ces communications.<br /> Les infos sur la carte en sim en soit, bof
octokitty
Ce sont plus souvent des personnes pas à l’aise ou vulnérables qui sont victimes de ce type d’attaque en France.<br /> Un sms dispatché indiquant un changement de statut de l’abo + le faux agent avec un n° local + un site qui réplique le formulaire officiel qui demande des infos sensibles + un certificat let’s encrypt et la vigilance est vite trompée. L’offenseur pourra demander un e.sim de son côté avec les infos de la victime, qui nécessite pas de livraison.<br /> Comme tout peut se faire en ligne et que ces mêmes pièces d’identité sont demandées, il faudra revoir les procédures pour les diverses opérations qui impactent la carte sim, qui devient de facto une extension de l’identité d’une personne, tout en n’entravant pas les cas légitimes de vol et de récupération de SIM en urgence (et quid du MVNO sans agence?). Un problème difficile à résoudre. Peut-être que les opérateurs devront utiliser la vérification par selfie vidéo pour une partie de ces demandes en ligne.
TheLoy
Il y a des sites web, applis ou extensions de navigateur qui permettent de savoir ce qui se cache derrière un lien court. Je n’en utilise pas régulièrement donc je préfère te laisser te faire ton expérience plutôt que de faire une suggestion à l’arrache.<br /> Sinon j’ai testé dans WhatsApp et il arrive à trouver ce qui se cache derrière un lien Bitly (je ne sais pas si cela fonctionne avec tous les services). Par contre Signal n’a pas réussi.
MattS32
Nmut:<br /> Pour les infos, si tu as la synchronisation active, tu retrouves avec la nouvelle sim pas mal de trucs automatiquement (agenda, contacts, photos, mémos, …)<br /> Non, ça c’est via les comptes Google, Apple et cie associés au smartphone.<br /> La norme SIM ne prévoit absolument aucune récupération de données. Il y a bien des données qui peuvent être stockées dans la SIM (contacts et SMS), mais c’est lié à la SIM physique, pas à la ligne, une nouvelle SIM sur la même ligne sera vierge.<br /> Peut-être que certains opérateurs proposent en plus un service de synchronisation de données en utilisant la SIM comme identifiant, mais perso j’ai jamais vu ça en pratique (j’ai utilisé un temps l’appli d’Orange pour la sauvegarde de certaines données, c’était lié à un compte Orange, l’identification ne passait heureusement pas juste par la SIM).
Nmut
Pardon pour le raccourcis. Effectivement, c’est la récupération du compte et DONC de la synchro qui apporte plein d’infos…
Martin_Penwald
Hé, j’ai pas eu accès au réseau pendant 2 jours, c’est qu’on a copié ma SIM !<br /> Ou alors, soyons fous, c’est peut-être qu’au nord du cercle arctique en Alaska, la couverture réseau est assez nulle.
Yorgmald
ils contactent l’opérateur mobile de la victime en se faisant passer pour celle-ci, sur Internet, au téléphone et même parfois en se rendant dans un magasin.<br /> Donc l’opérateur est pleinement responsable et devrait être inquiété de poursuite judiciaire vu qu’il ne vérifie pas l’identité exact de la personne.<br /> L’utilisateur n’est pas le seul fautif (on peut toujours se faire avoir) mais c’est surtout l’opérateur le fautif.
xavz78
Quid des e-sim ?
luck61
Ouais bon avec free les coupures reseaux , ça fonctionne quand ça veut…ça aurait été Orange je me serais inquiété
luck61
Maintenant avec la nouvelle réglementation les paiments en ligne doivent être validé avec l’application de la banque donc avoir la carte sim ce n’est vraiment pas suffisant en 2022 en France …même avec un compte Nickel il faut valider la transaction sur l’application
Jissou06
Oui un article tiré d’un site américain pas du tout adapté au cas français qui nous intéresse et très alarmiste (de mon point de vue)<br /> D’abord l’échange de carte SIM. Ça existe en France ?<br /> Ensuite en supposant que le bonhomme est récupéré la carte SIM échangé de la victime, qu’est ce qu’il récupère le bonhomme sur son téléphone vierge à lui ou il a mis la SIM ?<br /> Rien comme Data ! Il lui faut soit l’appleID (iPhone) pour récupère les sauvegardes iCloud soit l’identifiant PlayStore<br /> Donc le seul bénéfice obtenu est le 2FA (authentification 2 facteurs) réalisé par la victime et encore uniquement si réalisé par SMS (ce qui est le cas malheureusement des banques)<br /> Et puis il faut aussi le mot de passe : le 1er facteur d’authentification<br /> Et que dire de la remarque: « il faut être vigilant en cas de coupure réseau … » Alors là ça frise la parano ! Si on pense qu’on est piraté des qu’on a une coupure complète du réseau !<br /> Un peu d’esprit critique SVP<br /> Bref ce SIM Swap n’est pas pertinent du tout en France<br /> meme s’il est toujours intéressant d’avoir un point de vue des autres pratiques pour faire évoluer les nôtres et nous sensibiliser sur la vigilance (toujours nécessaire)
jbobby
J’avais vu un reportage il y a longtemps dans un JT de France 2 sur un chef d’entreprise à qui c’était arrivé. C’était certes dans un média généraliste donc pas forcément des plus pertinents, et ils parlaient d’une possible complicité chez l’opérateur. Ensuite, la vérification 2 facteurs est cruciale car les « mots de passe » des accès en ligne aux comptes bancaires sont ridiculement simples, et s’ils étaient vus comme « complexes » à une époque ce n’est plus le cas maintenant. Sans la 2FA c’était même une négligence coupable de la part des banques.
Pierro787
@ jvachez<br /> Ça dépend de la situation des logements:<br /> En pavillon, dans un village tout le monde connaît plus ou moins le facteur. Et les boites aux lettres sont visibles par tous de la rue.<br /> En plus de nombreuses boites aux lettres ne sont pas aux normes de la Poste donc, impossible de les ouvrir avec un pass. Il faut alors la forcer, et aussi savoir précisément quel jour le courrier en question est bien arrivé dans la boîte.<br /> La situation que vous décrivez ne peut fonctionner qu avec une complicité à la Poste avec un facteur qui vole le courrier mais il ne risque pas de le faire longtemps car les plaintes vont affluer sur sa zone de remise du courrier.<br /> Après, je conçois tout à fait que le vol de courrier puisse être bien plus facile dans certains immeubles ou les facteurs eux même n osent plus livrer les colis de peur de se faire agresser.
jvachez
Même pas besoin de la complicité de la poste, les pass PTT sont commandables sur internet en vente libre.
Pierro787
Sauf qu il faut que la boîte aux lettres soit aux normes de la Poste et bcp ne le sont pas, notamment dans les villages ou petites villes. Pas de pass, pas de clés.<br /> Ensuite, ouvrir une boîte aux lettres pour voler le courrier sous les yeux des éventuels passants ou voisins , c est tout sauf discret, encore plus s il y a un chien qui aboie dans le jardin.<br /> Il faut savoir précisément quel jour la lettre est arrivée et attendre la nuit pour ne pas se faire surprendre par les riverains car nous connaissons tous le facteur du village.<br /> La situation dans un village où tout le monde se connaît au moins de vue et dans une ville avec des immeubles où personne ne se connaît est très différente.
Pierro787
Sans complicité à la Poste, on ne peut pas savoir quel jour précisément le courrier en question va arriver dans la boîte aux lettres.<br /> Donc, à partir du moment où la demande de changement de SIM est faite, il faut s amuser à ouvrir la boîte aux lettres tous les jours pour vérifier si le courrier en question est bien arrivé.<br /> Dans un immeuble, ça peut se faire ( et encore si y a pas de caméras vidéo ), mais en pavillon individuel avec jardin et chien qui aboie dès que quelqu’un s arrête devant le portail, j y crois moyen. Surtout si y a du vis à vis des autres voisins.<br /> Dans mon village, le facteur met le courrier de côté si on part en vacances, il pose les colis à un endroit discret et planqué dans le jardin en cas d absence, il est super sympa.<br /> Ce genre de choses est impossible dans un immeuble en ville.
Oli1
@Jc<br /> Je vous rejoins totalement. Le principal danger me semble être celui de la double authentification, pour cela, il existe des services comme Authy (entre autres), qui permet de faire des backups réguliers. J’ajoute un mot de passe pour l’ouverture d’Authy, en plus du passe pour déverouiller le mobile : certes aucune influence par rapport au sujet de cet article, en revanche, si le mobile est perdu ou volé, cela retarde son utilisation (et permet, entretemps, de le faire bloquer).
Voir tous les messages sur le forum

Derniers actualités

Très belle remise sur cette barre de son et son caisson de basse
pCloud propose des réductions à couper le souffle sur ses solutions de stockage en ligne (-80%)
Pour la rentrée, cet écran gamer Samsung Odyssey G5 32 pouces est à prix fou !
Sony travaillerait sur un launcher PlayStation pour PC
Vous pouvez maintenant essayer Spotify gratuitement pendant 3 mois
Un smartphone dans sa version Pro à moins de 200€ ça vous intéresse ?
Ryzen 7000 : AMD confirme la présentation officielle de ses CPU le 30 août prochain
Combien de temps faut-il pour pirater une carte bancaire ?
Signal : des numéros de téléphone d'utilisateurs dans la nature (et ce n'est pas la faute de l'app)
Pourquoi la fusion de TF1 avec M6 pourrait être empêchée
Haut de page