Le hack repose sur l'erreur humaine plutôt que sur des connaissances techniques. | Brett Jordan via Unsplash
Le hack repose sur l'erreur humaine plutôt que sur des connaissances techniques. | Brett Jordan via Unsplash

Le «SIM swapping», quand le piratage s'en prend à votre 06

Les effets de cette technique peuvent être plus dévastateurs qu'une usurpation de compte sur un réseau social.

Le 30 août, un ou plusieurs hackers ont brièvement pris le contrôle du compte Twitter de Jack Dorsey, le PDG du réseau social. Des tweets racistes et nazis ont été postés puis rapidement supprimés.

Ce n'est en fait pas son compte qui a été piraté, mais son numéro de téléphone. Les tweets ont été publiés en passant par Cloudhopper, une entreprise achetée par l'entreprise à l'oiseau bleu, qui permet de twitter via SMS.

Le compte officiel de l'entreprise a d'ailleurs précisé que Twitter allait désactiver cette fonctionnalité, pour l'instant temporairement. Le «SIM swapping», la technique utilisée par les hackers, est aussi simple d'utilisation que difficile à empêcher.

Simple comme bonjour

Le tour de passe-passe opéré par les pirates ne nécessite pas de connaissances techniques particulières. Il suffit, en prétextant une perte ou un vol, de demander à un opérateur de transférer le numéro d'une carte SIM à une autre.

Pour cela, il suffit de connaître le numéro en question et d'avoir les informations indispensables pour répondre à une série de questions de sécurité. Ces données –date de naissance, adresse de résidence, etc.– ne sont pas difficiles à obtenir.

Lorsque les opérateurs mettent en place des barrières, comme un code que seule la personne qui détient le numéro doit connaître, il suffit de soudoyer un individu qui travaille au sein de l'entreprise de téléphonie afin de l'obtenir, et le tour est joué. La corruption est peu dispendieuse: selon le New York Times, le montant de ces pots-de-vin excède rarement la centaine de dollars (90,5 euros).

Chantage et cryptobraquage

Voir son compte Twitter réquisitionné pendant quelques heures est très loin d'être la pire des conséquences d'un acte de «SIM swapping». Détenir un numéro de téléphone équivaut à s'offrir un Sésame donnant accès à d'autres mots de passe.

En mai, Google a publié un article rappelant à quel point l'identification à deux facteurs est importante et efficace. Une simple confirmation de mot de passe par SMS permet de bloquer la plupart des bots et tentatives de phishing. Une sécurité qui se trouve mise à mal au cas où le SMS de confirmation arrive sur le téléphone du hacker.

Grâce au contrôle d'un numéro, s'introduire sur la plupart des services en ligne et réseaux sociaux et d'en éjecter le propriétaire devient chose aisée. Grâce à des informations ou photos obtenues depuis ces multiples comptes, libre ensuite au hacker de faire chanter sa victime.

Les cryptomonnaies sont également visées par ce type de piratage. Contrairement à une banque classique, qui révoque les virements frauduleux, un virement de crypto est définitif. En février, un hacker a été condamné à dix ans de prison pour avoir dérobé 5 millions de dollars en cryptomonnaies via «SIM swapping».

En ce moment

Les Japonaises interdites de lunettes, xHamster mieux que Facebook, sécuriser son iPhone, aujourd'hui sur korii.

Et Cætera

Les Japonaises interdites de lunettes, xHamster mieux que Facebook, sécuriser son iPhone, aujourd'hui sur korii.

Le récap' du jour.

Google aspire les données médicales de millions de personnes à leur insu

Et Cætera

Google aspire les données médicales de millions de personnes à leur insu

Dans le cadre du «Projet Nightingale», des hôpitaux lui transmettent leurs données sans en informer les patient·es.

Les entreprises japonaises interdisent à leurs employées de porter des lunettes

Et Cætera

Les entreprises japonaises interdisent à leurs employées de porter des lunettes

La mesure n'est que l'une des nombreuses contraintes que les Japonaises doivent respecter au travail.