Qu’est-ce que le « SIM swapping », qui a permis de pirater le compte du patron de Twitter ?
Cette technique permet de prendre le contrôle d’un numéro de téléphone, ouvrant la porte à différents types de piratages. Certains ont rapporté des millions de dollars à leurs auteurs.
PHILIPPE HUGUEN / AFP
Publié le 04 septembre 2019 à 15h25
Le « SIM swapping » consiste à dérober un numéro de téléphone. Les 4 millions d’abonnés de Jack Dorsey, le cofondateur de Twitter, ont eu une étrange surprise, vendredi 30 août : son compte Twitter s’est soudain mis à publier des messages insultants et racistes. Le résultat d’un piratage aussi bref que spectaculaire. Jack Dorsey a ensuite repris le contrôle de son compte un quart d’heure après la publication des premiers messages.
L’épisode montre bien que personne n’est à l’abri de ce type de piratage. Jack Dorsey, qu’on peut penser bien informé en matière de sécurité informatique et bien encadré par les services de sécurité informatique de Twitter, avait pourtant pris des mesures pour protéger son compte. Mais celles-ci se sont révélées insuffisantes face à la technique du « SIM swapping ».
En quoi consiste le « SIM swapping » ?
Ce terme désigne le fait de « voler » le numéro de téléphone portable de quelqu’un. Cela ne nécessite pas de grande expertise technique. Dans les cas les plus courants de piratage par « SIM swapping », un pirate contacte le service client de votre opérateur afin de se faire passer pour vous. En effet, votre numéro est rattaché à une carte SIM. Cette petite puce dans votre téléphone vous identifie et vous permet, pour résumer, de vous connecter aux réseaux téléphoniques, 3G et 4G.
Prétextant la perte, une malfonction ou le vol de votre carte SIM, le pirate demande alors à activer votre numéro sur une nouvelle carte SIM, que lui possède. Pour convaincre le service client au bout du fil, il utilise des informations personnelles (date de naissance, adresse, numéro de client, etc.), qu’il a pu trouver sur Internet ou par d’autres moyens. Une fois l’opération réussie, le pirate peut alors recevoir à votre place des appels et des SMS qui vous sont destinés.
Quel genre de piratages cela permet-il ?
Dans le cas de Jack Dorsey, les pirates, une fois parvenus à s’approprier son numéro de téléphone, ont utilisé un service permettant d’envoyer un tweet par SMS, nommé Cloudhopper. Il a été conçu pour les personnes n’ayant pas de smartphone ou désirant envoyer un tweet sans avoir assez de réseau, par exemple. Ce service vérifie que le SMS a bien été envoyé par le numéro de téléphone rattaché au compte Twitter avant de le publier sous forme de tweet. C’est ainsi que les pirates ont pu tweeter sur le compte de Jack Dorsey.
Le groupe à l’origine de ce piratage, qui se fait appeler Chuckling Squad, avait déjà, par le passé, pris le contrôle de comptes d’une dizaine d’influenceurs de cette manière.
Mais le « SIM Swapping » a aussi, dans certains cas, des implications financières. Un Américain a par exemple été arrêté en début d’année après avoir subtilisé des millions de dollars grâce à ce procédé. Et ceci grâce à l’un des systèmes les plus répandus pour, justement, éviter les piratages.
Pour mieux sécuriser leurs différents comptes en ligne, les internautes sont en effet souvent incités à utiliser un système de double authentification : après avoir entré leur nom d’utilisateur et leur mot de passe pour se connecter à un compte, le système leur envoie un code, souvent par SMS. En théorie, un pirate disposant du mot de passe d’un compte en ligne sera bloqué à cette étape, puisqu’il n’a pas la main sur le téléphone qui recevra le code en question.
C’est là que le « SIM swapping » intervient : puisqu’il est désormais possible de subtiliser un numéro de téléphone, alors la double authentification par SMS peut être contournée. Le « SIM swapping » peut alors permettre d’accéder à de nombreux types de comptes en ligne, ouvrant la porte à différents types d’escroqueries : usurpation d’identité, chantage ou encore vol d’argent. L’Américain arrêté cette année avait par exemple accédé à des portefeuilles de cryptomonnaies.
La pratique est-elle répandue ?
Bien qu’elle ne soit pas nouvelle, l’ampleur du « SIM swapping » est inconnue. En France, ce type de fraude a été mentionné dans le rapport 2018 du ministère de l’intérieur sur la cybercriminalité, mais aucun chiffre n’y est donné pour estimer l’ampleur de cette fraude. Mais la technique fait régulièrement parler d’elle, comme dans le cas du piratage de centaines d’utilisateurs d’Instagram, qui ont perdu l’accès à leur compte l’été dernier.
L’Agence France-Presse (AFP) souligne que des milliers d’attaques de ce type ont notamment été recensées dans des pays où les paiements par téléphone mobile sont monnaie courante, comme le Brésil, le Mozambique, l’Inde ou l’Espagne. Plus largement, les systèmes de sécurité de nombreux opérateurs mobiles « sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM », estiment deux chercheurs de l’entreprise de sécurité informatique Kaspersky, Fabio Assolini et Andre Tenreiro, interrogés par l’AFP. Il arrive aussi, précisent-ils dans un billet de blog, que les pirates corrompent des employés d’opérateurs téléphoniques afin qu’ils leur facilitent la tâche. « Des attaques de ce type sont désormais très répandues », écrivent-ils.
Comment se prémunir ?
Si le risque de se faire dérober son numéro de téléphone dépend en grande partie de l’opérateur, il existe des solutions pour limiter le risque que cela permette d’accéder à vos comptes en ligne.
S’il est recommandé d’utiliser la double authentification, mieux vaut désormais éviter celle qui repose sur l’envoi d’un SMS. A la place, d’autres systèmes existent. Le plus sûr est certainement de passer par une clé « physique » : en la connectant à son appareil par USB ou Bluetooth, elle authentifie son propriétaire. Plusieurs modèles existent, développés par différentes entreprises, comme Google ou Yubico.
Il est aussi possible de se faire envoyer un code non pas par SMS, mais par l’intermédiaire d’une application installée sur le téléphone et qui ne dépend pas de la carte SIM, comme Google Authenticator.
Malheureusement, tous les services en ligne ne proposent pas ces alternatives à la double authentification par SMS, laissant leurs utilisateurs vulnérables en cas de « SIM swapping ».
Collé à partir de <https://www.lemonde.fr/pixels/article/2019/09/04/qu-est-ce-que-le-sim-swapping-qui-a-permis-de-pirater-le-compte-du-patron-de-twitter_5506360_4408996.html>