Les pays où les paiements par téléphone mobile sont monnaie courante sont les principales cibles
Le piratage dont a été victime le patron de Twitter braque les projecteurs sur les arnaques à la carte SIM, de plus en plus répandues et potentiellement très dangereuses.
Le fondateur de Twitter en est quitte pour quelques railleries. Fin août, le compte Twitter de Jack Dorsey, PDG du réseau social, a été détourné par des internautes malintentionnés, publiant en son nom des messages insultants ou racistes. Mais ces attaques peuvent avoir des conséquences bien plus graves, du vol de données personnelles à la désinformation. Le « SIM swap » ou « transfert de SIM » est une technique utilisée pour prendre la main sur des comptes d’autrui, qu’il s’agisse de Google, Facebook ou Twitter. Elle consiste en un vol « virtuel » de carte SIM : des escrocs appellent le service d’assistance d’un opérateur mobile en se faisant passer pour la victime. Prétextant le vol ou la perte d’une carte SIM, ils demandent à mettre en place une portabilité du numéro vers une nouvelle carte SIM, en leur possession.
Ils récupèrent ainsi l’usage du numéro de la victime, afin d’accéder à des profils protégés par l’authentification à double facteur. Cette option, disponible sur la plupart des plateformes en ligne (sociales ou bancaires, par exemple), implique de renseigner son mot de passe pour se connecter à son compte, mais également une suite de chiffres reçue par SMS. Une opération rendue possible par le détournement de carte SIM.
« Le numéro de téléphone associé au compte a été exposé à cause d’une erreur de sécurité de l’opérateur téléphonique », a expliqué le réseau social, qui assure n’avoir trouvé « aucun signe que les systèmes de Twitter n’aient été compromis ».
Afin de mieux tromper les employés des opérateurs téléphoniques, les « hackers » récoltent le plus d’informations possible sur leurs victimes. Suite aux larges vols de données privées qui se sont produits ces dernières années, ils ont en effet accès, sur le marché noir du web, à des mines d’informations personnelles qui leur permettent ensuite de piéger les opérateurs.
« Les messageries des téléphones mobiles peuvent être piratées par des moyens techniques sophistiqués, mais aussi simplement en convainquant un opérateur de migrer votre compte vers un autre, sur un téléphone non autorisé », explique R. David Edelman, un ancien conseiller à la Maison-Blanche qui dirige un centre de recherche sur la cybersécurité au Massachusetts Institute of Technology (MIT). « Il ne faut pas plus que quelques minutes de confusion pour commettre un méfait comme celui dont Dorsey a été victime », remarque-t-il.
Des milliers d’arnaques de ce type ont été recensées dans des pays où les paiements par téléphone mobile sont monnaie courante, comme le Brésil, le Mozambique, l’Inde ou l’Espagne.