Il faut quand même une sacré détermination pour obtenir la carte sim de quelqu’un.
Par téléphone ils ne font qu’envoyer la nouvelle par la poste (même les e-sim), donc ça suppose d’intercepter le courrier.
Et en boutique ils demandent le passeport, donc là encore ça suppose soit de voler la CI ou le passeport de la personne et espérer lui ressembler, ou bien fabriquer de toute pièce une fausse pièce d’identité.

Donc la partie sur l’hygiène cyber n’est pas vraiment pertinente dans ce cadre, pas besoin de « fisher » qui que ce soit.

@Crush : Exactement.

Pas si sûre que çà votre technique, j’ai encore eu l’autre jour une coupure totale de réseau (free) sur ma zone, le téléphone m’indiquait constamment « votre ligne n’est pas enregistrée sur le réseau », çà a duré deux jours et c’est revenu… Heureusement que je n’ai pas appelé les flics pour çà, ils m’auraient sûrement bien reçu

La source (Check Point Software) semble américaine, et c’est en effet assez facile là-bas : un coup de téléphone suffit (en étant assez persuasif, social engineering).

« Voilà un moyen facile et sûr de découvrir qu’il y a un doublon de carte SIM »

Oui et non car le mal est déjà fait. Le gars qui aura dupliqué la carte ne va pas attendre que la victime s’en aperçoive.

Récupérer un courrier c’est très simple depuis que les boites peuvent être ouvertes par la poste.

Check Point Software est une entreprise israélienne et parmi les leaders sur le marché de la sécurité informatique. Il y a effectivement des pays dans lesquels il est plus simple que d’autres d’obtenir un double de sa SIM ou une nouvelle SIM.
On peut se dire aussi que Check Point Software a peut-être quelque chose à vendre pour se prémunir de ce genre d’attaques ?

Evidemment que c’est simple, t’as même pas besoin d’avoir de clé.
Mais il faut quand même être déterminé pour s’amuser à aller tôt le matin chez quelqu’un, attendre le facteur et défoncer (ou ouvrir) sa boite aux lettres.

Je vais corriger mon propos pour pas outrer les oreilles sensibles. Mais je persiste, la bonne « hygiène cyber » ne parait me prémunir que moyennement de ce genre d’attaque. La sécurité devrait d’abord venir de celui qui fourni la sim et pas tellement par l’utilisateur par le coup :s

Pas que par la poste d’ailleurs

Si tu déclares ta SIM en panne, voir ton portable perdu, ta précédente SIM est désactivée (ça m’est arrivé sur un SIM neuve qui avait des ratées, j’ai appelé l’opérateur et elle a été désactivé dans la minute, j’aurais aimé une désactivation à l’installation de la nouvelle! ).
Pour les infos, si tu as la synchronisation active, tu retrouves avec la nouvelle sim pas mal de trucs automatiquement (agenda, contacts, photos, mémos, …), des tas de choses très intéressantes pour une personne mal intentionnée, et si on en arrive là, c’est que cette personne a décidé d’aller jusqu’au bout pour rentabiliser le temps passé!

Après le risque dans ce cas très précis de vol de sim, c’est davantage le fait d’avoir accès aux appels/sms et donc de pouvoir déjouer les authentifications à double facteur qui utilisent ces communications.
Les infos sur la carte en sim en soit, bof

Ce sont plus souvent des personnes pas à l’aise ou vulnérables qui sont victimes de ce type d’attaque en France.
Un sms dispatché indiquant un changement de statut de l’abo + le faux agent avec un n° local + un site qui réplique le formulaire officiel qui demande des infos sensibles + un certificat let’s encrypt et la vigilance est vite trompée. L’offenseur pourra demander un e.sim de son côté avec les infos de la victime, qui nécessite pas de livraison.

Comme tout peut se faire en ligne et que ces mêmes pièces d’identité sont demandées, il faudra revoir les procédures pour les diverses opérations qui impactent la carte sim, qui devient de facto une extension de l’identité d’une personne, tout en n’entravant pas les cas légitimes de vol et de récupération de SIM en urgence (et quid du MVNO sans agence?). Un problème difficile à résoudre. Peut-être que les opérateurs devront utiliser la vérification par selfie vidéo pour une partie de ces demandes en ligne.

Il y a des sites web, applis ou extensions de navigateur qui permettent de savoir ce qui se cache derrière un lien court. Je n’en utilise pas régulièrement donc je préfère te laisser te faire ton expérience plutôt que de faire une suggestion à l’arrache.

Sinon j’ai testé dans WhatsApp et il arrive à trouver ce qui se cache derrière un lien Bitly (je ne sais pas si cela fonctionne avec tous les services). Par contre Signal n’a pas réussi.

Non, ça c’est via les comptes Google, Apple et cie associés au smartphone.

La norme SIM ne prévoit absolument aucune récupération de données. Il y a bien des données qui peuvent être stockées dans la SIM (contacts et SMS), mais c’est lié à la SIM physique, pas à la ligne, une nouvelle SIM sur la même ligne sera vierge.

Peut-être que certains opérateurs proposent en plus un service de synchronisation de données en utilisant la SIM comme identifiant, mais perso j’ai jamais vu ça en pratique (j’ai utilisé un temps l’appli d’Orange pour la sauvegarde de certaines données, c’était lié à un compte Orange, l’identification ne passait heureusement pas juste par la SIM).

Pardon pour le raccourcis. Effectivement, c’est la récupération du compte et DONC de la synchro qui apporte plein d’infos…

Hé, j’ai pas eu accès au réseau pendant 2 jours, c’est qu’on a copié ma SIM !
Ou alors, soyons fous, c’est peut-être qu’au nord du cercle arctique en Alaska, la couverture réseau est assez nulle.

ils contactent l’opérateur mobile de la victime en se faisant passer pour celle-ci, sur Internet, au téléphone et même parfois en se rendant dans un magasin.

Donc l’opérateur est pleinement responsable et devrait être inquiété de poursuite judiciaire vu qu’il ne vérifie pas l’identité exact de la personne.
L’utilisateur n’est pas le seul fautif (on peut toujours se faire avoir) mais c’est surtout l’opérateur le fautif.