Le 30 août, un ou plusieurs hackers ont brièvement pris le contrôle du compte Twitter de Jack Dorsey, le PDG du réseau social. Des tweets racistes et nazis ont été postés puis rapidement supprimés.
Ce n'est en fait pas son compte qui a été piraté, mais son numéro de téléphone. Les tweets ont été publiés en passant par Cloudhopper, une entreprise achetée par l'entreprise à l'oiseau bleu, qui permet de twitter via SMS.
Le compte officiel de l'entreprise a d'ailleurs précisé que Twitter allait désactiver cette fonctionnalité, pour l'instant temporairement. Le «SIM swapping», la technique utilisée par les hackers, est aussi simple d'utilisation que difficile à empêcher.
We’re temporarily turning off the ability to Tweet via SMS, or text message, to protect people’s accounts.
— Twitter Support (@TwitterSupport) September 4, 2019
Simple comme bonjour
Le tour de passe-passe opéré par les pirates ne nécessite pas de connaissances techniques particulières. Il suffit, en prétextant une perte ou un vol, de demander à un opérateur de transférer le numéro d'une carte SIM à une autre.
Pour cela, il suffit de connaître le numéro en question et d'avoir les informations indispensables pour répondre à une série de questions de sécurité. Ces données –date de naissance, adresse de résidence, etc.– ne sont pas difficiles à obtenir.
Lorsque les opérateurs mettent en place des barrières, comme un code que seule la personne qui détient le numéro doit connaître, il suffit de soudoyer un individu qui travaille au sein de l'entreprise de téléphonie afin de l'obtenir, et le tour est joué. La corruption est peu dispendieuse: selon le New York Times, le montant de ces pots-de-vin excède rarement la centaine de dollars (90,5 euros).
Chantage et cryptobraquage
Voir son compte Twitter réquisitionné pendant quelques heures est très loin d'être la pire des conséquences d'un acte de «SIM swapping». Détenir un numéro de téléphone équivaut à s'offrir un Sésame donnant accès à d'autres mots de passe.
En mai, Google a publié un article rappelant à quel point l'identification à deux facteurs est importante et efficace. Une simple confirmation de mot de passe par SMS permet de bloquer la plupart des bots et tentatives de phishing. Une sécurité qui se trouve mise à mal au cas où le SMS de confirmation arrive sur le téléphone du hacker.
Grâce au contrôle d'un numéro, s'introduire sur la plupart des services en ligne et réseaux sociaux et d'en éjecter le propriétaire devient chose aisée. Grâce à des informations ou photos obtenues depuis ces multiples comptes, libre ensuite au hacker de faire chanter sa victime.
Les cryptomonnaies sont également visées par ce type de piratage. Contrairement à une banque classique, qui révoque les virements frauduleux, un virement de crypto est définitif. En février, un hacker a été condamné à dix ans de prison pour avoir dérobé 5 millions de dollars en cryptomonnaies via «SIM swapping».
