Quelle est cette arnaque à la carte SIM dont a été victime le P.-D.G. de Twitter ?

Bastien Contreras
05 septembre 2019 à 10h25
7
Carte SIM

Le piratage du compte de Jack Dorsey, P.-D.G. de Twitter, a mis en lumière un type de fraude de plus en plus répandu : les arnaques à la carte SIM. Et les conséquences peuvent aller bien au-delà de quelques tweets injurieux ou racistes.

Il y a quelques jours, on apprenait que le P.-D.G. de Twitter, Jack Dorsey, s'était fait pirater son compte... Twitter. Pour y parvenir, les hackers ont utilisé une méthode de plus en plus en vogue : l'arnaque à la carte SIM.

Les limites de l'authentification à deux facteurs

Cette forme de fraude repose sur une faille du système - pourtant censé être particulièrement sécurisé - d'authentification à double facteur. Il consiste pour le pirate à détourner le numéro de téléphone de sa victime, pour le rediriger vers une autre carte SIM, dont il aura l'usage.

Pour y parvenir, deux méthodes ont été relevées. Soit le hacker se fait directement passer pour l'utilisateur auprès de l'opérateur, par exemple après avoir récupéré des informations personnelles, à la suite d'un vol de données. Soit il parvient à soudoyer les employés de l'entreprise téléphonique, moyennant parfois seulement une dizaine de dollars par victime.

Une fois « l'échange de SIM » effectué, il suffit au pirate de profiter du système d'authentification à deux facteurs. Il peut alors recevoir, par SMS, le mot de passe de l'utilisateur ou un code permettant de renouveler les identifiants.

Vol d'argent

Le hacker peut ainsi prendre possession des différents comptes de sa victime sur les réseaux sociaux, comme cela s'est produit avec Jack Dorsey. Mais il peut surtout, dans certains cas, réaliser des paiements par téléphone mobile, voire prendre la main sur des comptes bancaires.

Alors, que faire pour lutter contre cette fraude ? Certains experts en cybersécurité réclament aux entreprises la mise en place de systèmes plus robustes pour s'en prémunir. Les opérateurs pourraient ainsi avoir recours à l'intelligence artificielle pour différencier une demande légitime de transfert de numéro d'une requête frauduleuse. De même, les méthodes d'authentification pourraient faire appel à des clés physiques ou à des applications dédiées, pour éviter de dépendre du SMS.

Ori Eisen, fondateur de Trusona, entreprise spécialisée dans l'authentification sans mot de passe, livre son idée de la solution idéale : « Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »... Voilà une bonne idée.

Source : Capital
Bastien Contreras

Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autr...

Lire d'autres articles

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (7)

best98
« Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »… ca… c’est vraiment créatif .
GRITI
Un petit article sur le sujet par rapport aux banques:<br /> Les Echos – 6 Nov 18<br /> Les banques bientôt privées de SMS pour sécuriser les paiements en ligne<br /> La validation d'un paiement en ligne par SMS ne répondra bientôt plus aux exigences européennes. Alliées aux commerçants, les banques demandent du temps pour s'adapter.<br /> Peut-on y voir une opportunité pour pousser la sécurisation par la biométrie?
megadub
Ben il y aurait un moyen pas forcément simple mais efficace : l’envoi d’un document d’identité lors de la souscription et une videoconf plutôt qu’un appel voix uniquement pour contrôler la gueule du demandeur.<br /> Sinon, un truc beaucoup plus simple pourrait être l’utilisation d’un authentificateur (le truc qui génère un chiffre aléatoire tous les 20s) logiciel ou matériel que l’opérateur pourrait contrôler.
framug
Non, ça s’appelle une lapalissade
vbond007
Ce type de manip s’appelle “SIM Swap”.<br /> Il existe des solutions pour détecter si cela s’est produit.<br /> En effet, les opérateurs mettent à disposition des acteurs du marché (providers SMS en particuliers) des API qui permettent d’interroger leur système pour savoir si la carte a été récemment changée.<br /> Les Banques, qui passent par ces providers SMS, obtiennent ainsi un score de “confiance” qui, s’il est trop bas, leur permettent de prendre la décision de ne pas envoyer le SMS avec le mot de passe à usage unique (OTP).<br /> Cela est déployé en angleterre et arrive en France et dans plein d’autres pays.<br /> Il sera ainsi possible de continuer à utiliser le SMS pour de l’authentification à double facteur.
vbond007
Cette solution est effectivement pas mal, mais oblige les utilisateurs à télécharger une appli pour l’avoir.<br /> Cela pourrait être installé d’office sur le téléphone dès la sortie d’usine, mais les utilisateurs saurton-ils l’utiliser ou prendront-ils le pli? Et il faut un standard adopté par toutes les banques, services cloud etc… (du moins je crois )
megadub
Ca peut être intégré à l’appli de l’opérateur comme le font les banques
Cmoi
Si la majorité est corrompue dans le circuit : Si machin se fait faire en boutique une nouvelle SIM de bidule en échange de 10$. Que faire?
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page