L'attaque par SIM swap est une technique frauduleuse préoccupante dans le domaine des crypto-monnaies et de la sécurité informatique. Elle consiste à usurper l'identité d'un utilisateur de téléphonie mobile en détournant son numéro de téléphone. Les attaquants, après avoir collecté des informations personnelles, contactent l'opérateur de la victime et transfèrent son numéro sur une nouvelle carte SIM qu'ils contrôlent, désactivant ainsi la carte originale de la victime.
Si vous êtes victime d'un SIM swapping, les risques sont considérables, surtout si vous détenez des comptes sur des plateformes d'échange de crypto-monnaies. L'attaquant, une fois qu'il contrôle votre numéro, peut accéder à vos comptes en ligne, en particulier si vous utilisez la double authentification par SMS. Il peut ainsi prendre le contrôle de votre adresse e-mail, se connecter à diverses plateformes en ligne, et potentiellement voler vos fonds sur des plateformes d'échange de crypto-monnaies.
Le rapport du FBI de 2019 sur la criminalité numérique révèle que les arnaques telles que le SIM swap, le phishing et le vishing ont engendré des pertes d'au moins 57 millions de dollars pour les victimes. Ces types d'escroqueries touchent plus de personnes que les autres formes de cybercrimes. Par ailleurs, les fraudes impliquant des compromissions de messageries professionnelles (Business Email Compromise - BEC) et de comptes de messagerie (Email Account Compromise - EAC) ont provoqué des pertes supérieures à 1,7 milliard de dollars, d'après les signalements reçus par le FBI en 2019.
Les conséquences d'une attaque par échange de carte SIM (SIM swap) peuvent être catastrophiques. Les cybercriminels, une fois en possession de données personnelles comme la date de naissance, le numéro de sécurité sociale, les informations bancaires, le numéro de carte de crédit, les accès aux réseaux sociaux et autres données sensibles, peuvent déclencher une chaîne d'activités criminelles impliquant de nombreux acteurs. Les victimes peuvent subir des années d'usurpation d'identité, en plus des pertes financières, professionnelles et de réputation. Ces informations peuvent également être utilisées pour d'autres détournements de comptes, fraudes à la carte de crédit et usurpations d'identité.
Enfin, l'identité des personnes affectées par le piratage via échange de cartes SIM n'est souvent pas totalement rétablie. Ainsi, la protection contre les attaques de SIM swap est cruciale pour briser ce cycle préjudiciable.
Il existe plusieurs moyens de se protéger et d'éviter l'échange de cartes SIM.
Méfiez-vous des attaques d'ingénierie sociale telles que les courriels d'hameçonnage que les escrocs peuvent utiliser pour accéder à vos données personnelles et se faire passer pour vous. Assainissez votre présence en ligne pour réduire les risques.
Utilisez des mots de passe forts et uniques, ainsi que des questions et réponses (Q&R) connues de vous seul, afin d'améliorer la sécurité des comptes de votre téléphone portable.
Ajoutez une couche de protection par l'intermédiaire de votre opérateur en définissant un code PIN ou un code d'accès distinct pour vos communications. AT&T et T-Mobile le permettent, tandis que Verizon exige un code PIN que vous pouvez modifier. N'utilisez jamais un code PIN évident, tel qu'un anniversaire ou une adresse, et stockez idéalement vos codes PIN dans un gestionnaire de mots de passe.
Évitez de construire une identité et une authentification de sécurité uniquement autour de votre numéro de téléphone, y compris la messagerie texte (SMS). Cette méthode est vulnérable à la fraude par échange de cartes SIM et à d'autres attaques, et la messagerie texte n'est pas cryptée.
Si votre opérateur de téléphonie mobile le propose, choisissez de recevoir des notifications supplémentaires lorsqu'une carte SIM est réémise sur votre compte. Lorsque vous choisissez des banques, des détaillants et d'autres organisations à utiliser en ligne, recherchez ceux qui utilisent une technologie d'analyse comportementale pour découvrir les dispositifs compromis et les rappels pour dissuader les voleurs d'identité.
Certains considèrent l'échange de cartes SIM comme un exemple d'authentification à deux facteurs (2FA), mais c'est loin d'être le cas. En fait, la fraude par échange de cartes SIM est un argument en faveur de l'utilisation d'une authentification forte, en utilisant une clé de sécurité pour l'authentification physique.
Les techniques d'authentification physique sont supérieures à l'authentification 2FA standard, car elles requièrent quelque chose que vous connaissez, comme un mot de passe, et quelque chose que vous possédez : un jeton physique. Un pirate informatique doit s'emparer physiquement de votre jeton pour obtenir l'accès.
Il est essentiel d'appliquer 2 niveaux de sécurité a minima. Cela signifie deux facteurs : quelque chose que vous connaissez, comme un code ou un mot de passe, et quelque chose que vous avez généré par un appareil enregistré, comme une notification push ou un OTP généré (un mot de passe à usage unique).
Dans la mesure du possible, augmentez d'un cran votre niveau de sécurité pour la plupart des actifs critiques. Pour cela, appliquez une authentification à deux facteurs (2FA) en combinant quelque chose que vous connaissez, comme un mot de passe, à un jeton cryptographique matériel. Ce dernier peut être une clé FIDO (Fast Identity Online, une norme internationale pour des dispositifs d'authentification robustes comme des clés USB sécurisées) ou une carte à puce.
L'authentification forte renforce la confiance dans l'identité de l'utilisateur. Lorsque l'identité de l'utilisateur et l'infrastructure elle-même sont plus dignes de confiance, une attaque d'ingénierie sociale par SMS ou par appel est moins probable.
Pour les comptes particulièrement sensibles, il peut être intéressant d'essayer de supprimer complètement votre numéro de téléphone lorsque c'est possible. Cela peut être un défi à grande échelle, mais pour les cibles de grande valeur, cela peut s'avérer nécessaire.
Contactez votre opérateur téléphonique pour voir si des mesures de sécurité spécifiques peuvent être activées. Les opérateurs en France ont mis en place des contrôles accrus pour lutter contre cette fraude, mais la vigilance individuelle reste essentielle.
