Quelle est cette arnaque à la carte SIM dont a été victime le P.-D.G. de Twitter ?

Carte SIM

Le piratage du compte de Jack Dorsey, P.-D.G. de Twitter, a mis en lumière un type de fraude de plus en plus répandu : les arnaques à la carte SIM. Et les conséquences peuvent aller bien au-delà de quelques tweets injurieux ou racistes.

Il y a quelques jours, on apprenait que le P.-D.G. de Twitter, Jack Dorsey, s'était fait pirater son compte... Twitter. Pour y parvenir, les hackers ont utilisé une méthode de plus en plus en vogue : l'arnaque à la carte SIM.

Les limites de l'authentification à deux facteurs

Cette forme de fraude repose sur une faille du système - pourtant censé être particulièrement sécurisé - d'authentification à double facteur. Il consiste pour le pirate à détourner le numéro de téléphone de sa victime, pour le rediriger vers une autre carte SIM, dont il aura l'usage.

Pour y parvenir, deux méthodes ont été relevées. Soit le hacker se fait directement passer pour l'utilisateur auprès de l'opérateur, par exemple après avoir récupéré des informations personnelles, à la suite d'un vol de données. Soit il parvient à soudoyer les employés de l'entreprise téléphonique, moyennant parfois seulement une dizaine de dollars par victime.

Une fois « l'échange de SIM » effectué, il suffit au pirate de profiter du système d'authentification à deux facteurs. Il peut alors recevoir, par SMS, le mot de passe de l'utilisateur ou un code permettant de renouveler les identifiants.

Vol d'argent

Le hacker peut ainsi prendre possession des différents comptes de sa victime sur les réseaux sociaux, comme cela s'est produit avec Jack Dorsey. Mais il peut surtout, dans certains cas, réaliser des paiements par téléphone mobile, voire prendre la main sur des comptes bancaires.

Alors, que faire pour lutter contre cette fraude ? Certains experts en cybersécurité réclament aux entreprises la mise en place de systèmes plus robustes pour s'en prémunir. Les opérateurs pourraient ainsi avoir recours à l'intelligence artificielle pour différencier une demande légitime de transfert de numéro d'une requête frauduleuse. De même, les méthodes d'authentification pourraient faire appel à des clés physiques ou à des applications dédiées, pour éviter de dépendre du SMS.

Ori Eisen, fondateur de Trusona, entreprise spécialisée dans l'authentification sans mot de passe, livre son idée de la solution idéale : « Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »... Voilà une bonne idée.

Source : Capital
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
Voir tous les messages sur le forum

Actualités du moment

🔥 Promo de la rentrée : l'antivirus Bitdefender Total Security à moins 43%
Orange coupe à son tour le signal de BFMTV sur ses Livebox
Firefox bloque désormais tous les cookies tiers par défaut
Découvrez les premiers jeux Super Nintendo à venir sur Nintendo Switch
Enchères 5G : Free et Bouygues inquiets de ne pas pouvoir acheter suffisamment de spectre
Amazon étend ses points de collecte de colis en lançant Counter avec le réseau Maison de la Presse
Le ministre de la culture souhaiterait que Free et Altice se rabibochent
Cette fois c'est sûr : Cyberpunk 2077 aura un mode multijoueurs
Reconnaissance faciale, utilisation de l'IA : Christophe Castaner veut que la France accélère
Haut de page