Imaginez que quelqu’un prenne le contrôle de votre smartphone… Cela pourrait lui offrir la possibilité d’accéder à vos comptes personnels sur les réseaux sociaux, à vos contacts, de se faire passer pour vous, de changer vos mots de passe… voire de vider votre compte en banque. Avec la technique appelée « SIM swap » (échange de carte SIM), les cybercriminels ont trouvé une manière très lucrative de pirater les données des individus.

Dans une longue enquête, publiée sur le site américain Motherboard,Lorenzo Franceschi-Bicchierai remonte la piste qui mène à ces pirates. Leur technique du SIM Swap est assez simple : un fraudeur usurpe l’identité du titulaire d’une carte SIM, auprès de son opérateur de téléphonie (en prétextant, par exemple, un vol ou un changement de téléphone et donc de format de carte), et récupère donc la ligne téléphonique.

C’est ce qui est arrivé à Rachel Ostlund, à Salt-Lake City (Atlanta), en septembre dernier : tandis qu’elle envoie un texto, elle perd son réseau, et reçoit un message de son opérateur : « Votre carte SIM a été mise à jour. »Ainsi que le feraient la plupart des gens, elle éteint puis rallume son téléphone, qui n’a toujours pas de réseau. Le début des ennuis.

  
 

 

La carte SIM, une porte d’entrée vers les comptes personnels et les comptes en banque. (Photo : Dado Ruvic/Reuters).

 

Le pirate prend le contrôle

Son mari Adam l’appelle pour voir d’où vient le problème : au bout du fil, ça sonne, mais le téléphone de sa femme ne sonne pas. Sur internet, Rachel se rend compte que quelqu’un est en train de réinitialiser les mots de passe de tous ses comptes sur les réseaux sociaux.

Une heure plus tard, un homme et son complice appellent Adam : « On est en train de vous avoir. »Le criminel détaille les noms et les adresses des proches de la famille : « Que se passerait-il si on leur faisait du mal ? Si on détruisait leur réputation en leur disant que c’est de votre faute ? »

Les deux pirates sont aux commandes du compte Instagram de la victime, intitulé @Rainbow. Ils ont également pris la main sur ses comptes d’achats et de paiement en ligne : Amazon, Ebay, Paypal, Netflix… Ils lui demandent désormais l’accès à son compte Twitter, également appelé @Rainbow.

Aussi surprenant que cela puisse paraître, les comptes sur les réseaux sociaux ont une valeur marchande. Sur le marché noir, des comptes et des identifiants de jeux vidéo s’échangent, pour des sommes comprises entre 500 dollars (430 dollars) et 5 000 dollars (4 294 €), rapporte Motherboard, qui pointe du doigt des utilisateurs du forum OG Users. Par exemple, le compte Instagram intitulé @t se serait échangé récemment pour 40 000 dollars (34 342 €) en bitcoin (une monnaie numérique). Une forme de spéculation, comme sur les noms de domaines internet les plus simples et les plus communs, sur des adresses qui pourraient avoir une forte valeur marchande dans le futur.

Le malfaiteur reçoit les SMS

Comment les pirates parviennent-ils à prendre le contrôle de la carte SIM et accéder aux données du téléphone ? Il existe plusieurs méthodes. La plus simple est d’appeler l’opérateur, en se faisant passer pour le possesseur de la carte SIM. Prétextant un vol ou une perte, il suffit de demander le transfert vers une autre carte SIM. Au préalable, les pirates ont récupéré d’autres données, comme le numéro de sécurité sociale, l’adresse, pour donner confiance à l’opérateur, qui accède à la demande.

D’autres criminels enrôlent des techniciens chez les opérateurs, et leur achètent directement les codes d’accès aux cartes SIM, pour 100 dollars (86 €) chacun. Une manœuvre qui peut s’avérer très lucrative : en quelques minutes, les cybercriminels peuvent passer des commandes, faire des virements… Beaucoup d’entreprises, dont les banques, par sécurité, exigent de taper un code de confirmation sur internet, pour valider certaines opérations… Ce code est envoyé… par SMS, donc directement sur le téléphone du pirate.

Des victimes en France

 

Les banques et les opérateurs de téléphonie ont pris des mesures pour contrer le phénomène du SIM swap. (Photo : Kacper Pempel/Reuters).

 

D’autres exemples sont cités dans l’article de Motherboard. S’ils ont eu lieu aux États-Unis, la même technique est aussi utilisée en France : en janvier, une Vannetaise s’est fait escroquer de 2 000 € (rapporte Ouest-France). En février, un homme vire de son compte en bancaire en ligne, sans le savoir, 11 800 € à deux pirates (rapporte Que Choisir)…

Seules quelques minutes de contrôle suffisent aux pirates, avant que la victime ne puisse réagir auprès de sa banque. Pour contrer l’usurpation des numéros de carte bancaire sur internet, les entreprises ont développé le système 3D secure (validation d’un paiement via un troisième code, souvent envoyé par SMS). Ce dernier s’est développé, et représente aujourd’hui 41 % des paiements en ligne.

Cependant, selon le tout récent rapport annuel de l’Observatoire de la sécurité des moyens de paiement (émanation de la Banque de France), le SIM swap serait en diminution cette année, en raison des mesures de précaution prises récemment par les banques et les opérateurs.

Les réseaux sociaux ne restent pas non plus les bras croisés. Dans la foulée de la parution de l’article sur Motherboard (ce mardi), Instagram a annoncé dès le lendemain de nouvelles mesures pour la protection des comptes de ses utilisateurs : l’entreprise devrait abandonner l’authentification par SMS, et utiliser