Quelle est cette arnaque à la carte SIM dont a été victime le P.-D.G. de Twitter ?

05 septembre 2019 à 10h25
7
Carte SIM

Le piratage du compte de Jack Dorsey, P.-D.G. de Twitter, a mis en lumière un type de fraude de plus en plus répandu : les arnaques à la carte SIM. Et les conséquences peuvent aller bien au-delà de quelques tweets injurieux ou racistes.

Il y a quelques jours, on apprenait que le P.-D.G. de Twitter, Jack Dorsey, s'était fait pirater son compte... Twitter. Pour y parvenir, les hackers ont utilisé une méthode de plus en plus en vogue : l'arnaque à la carte SIM.

Les limites de l'authentification à deux facteurs

Cette forme de fraude repose sur une faille du système - pourtant censé être particulièrement sécurisé - d'authentification à double facteur. Il consiste pour le pirate à détourner le numéro de téléphone de sa victime, pour le rediriger vers une autre carte SIM, dont il aura l'usage.

Pour y parvenir, deux méthodes ont été relevées. Soit le hacker se fait directement passer pour l'utilisateur auprès de l'opérateur, par exemple après avoir récupéré des informations personnelles, à la suite d'un vol de données. Soit il parvient à soudoyer les employés de l'entreprise téléphonique, moyennant parfois seulement une dizaine de dollars par victime.

Une fois « l'échange de SIM » effectué, il suffit au pirate de profiter du système d'authentification à deux facteurs. Il peut alors recevoir, par SMS, le mot de passe de l'utilisateur ou un code permettant de renouveler les identifiants.

Vol d'argent

Le hacker peut ainsi prendre possession des différents comptes de sa victime sur les réseaux sociaux, comme cela s'est produit avec Jack Dorsey. Mais il peut surtout, dans certains cas, réaliser des paiements par téléphone mobile, voire prendre la main sur des comptes bancaires.

Alors, que faire pour lutter contre cette fraude ? Certains experts en cybersécurité réclament aux entreprises la mise en place de systèmes plus robustes pour s'en prémunir. Les opérateurs pourraient ainsi avoir recours à l'intelligence artificielle pour différencier une demande légitime de transfert de numéro d'une requête frauduleuse. De même, les méthodes d'authentification pourraient faire appel à des clés physiques ou à des applications dédiées, pour éviter de dépendre du SMS.

Ori Eisen, fondateur de Trusona, entreprise spécialisée dans l'authentification sans mot de passe, livre son idée de la solution idéale : « Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »... Voilà une bonne idée.

Source : Capital
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
best98
« Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »… ca… c’est vraiment créatif .
GRITI
Un petit article sur le sujet par rapport aux banques:<br /> Les Echos – 6 Nov 18<br /> Les banques bientôt privées de SMS pour sécuriser les paiements en ligne<br /> La validation d'un paiement en ligne par SMS ne répondra bientôt plus aux exigences européennes. Alliées aux commerçants, les banques demandent du temps pour s'adapter.<br /> Peut-on y voir une opportunité pour pousser la sécurisation par la biométrie?
megadub
Ben il y aurait un moyen pas forcément simple mais efficace : l’envoi d’un document d’identité lors de la souscription et une videoconf plutôt qu’un appel voix uniquement pour contrôler la gueule du demandeur.<br /> Sinon, un truc beaucoup plus simple pourrait être l’utilisation d’un authentificateur (le truc qui génère un chiffre aléatoire tous les 20s) logiciel ou matériel que l’opérateur pourrait contrôler.
framug
Non, ça s’appelle une lapalissade
vbond007
Ce type de manip s’appelle “SIM Swap”.<br /> Il existe des solutions pour détecter si cela s’est produit.<br /> En effet, les opérateurs mettent à disposition des acteurs du marché (providers SMS en particuliers) des API qui permettent d’interroger leur système pour savoir si la carte a été récemment changée.<br /> Les Banques, qui passent par ces providers SMS, obtiennent ainsi un score de “confiance” qui, s’il est trop bas, leur permettent de prendre la décision de ne pas envoyer le SMS avec le mot de passe à usage unique (OTP).<br /> Cela est déployé en angleterre et arrive en France et dans plein d’autres pays.<br /> Il sera ainsi possible de continuer à utiliser le SMS pour de l’authentification à double facteur.
vbond007
Cette solution est effectivement pas mal, mais oblige les utilisateurs à télécharger une appli pour l’avoir.<br /> Cela pourrait être installé d’office sur le téléphone dès la sortie d’usine, mais les utilisateurs saurton-ils l’utiliser ou prendront-ils le pli? Et il faut un standard adopté par toutes les banques, services cloud etc… (du moins je crois )
megadub
Ca peut être intégré à l’appli de l’opérateur comme le font les banques
Cmoi
Si la majorité est corrompue dans le circuit : Si machin se fait faire en boutique une nouvelle SIM de bidule en échange de 10$. Que faire?
Voir tous les messages sur le forum

Derniers actualités

Pourquoi Apple va rapatrier une partie de sa production en Inde
Et le meilleur cadeau à offrir selon Thomas Pesquet à Noël est...
Craquez pour l'excellent Nothing Phone (1) en promotion actuellement chez Amazon
Profitez de cette solution de nettoyage pour Mac à prix réduit pour Noël !
Vous n'arrivez pas à consulter votre Spotify Wrapped ? Voilà comment faire
Le smartphone Honor 50 est accessible à un prix incroyable sur Amazon !
Comment obtenir ce chargeur de smartphone à induction gratuitement ?
L'enceinte résidentielle Marshall Woburn II Bluetooth est à -30% aujourd'hui !
Idée cadeau | Velo 2 : une boussole pensée pour les cyclistes
Ces Français ont été désignés personnalités les plus influentes de la tech ; le n°2 ne va pas du tout vous étonner
Haut de page