Les apôtres de la sécurité informatique recommandent habituellement de protéger vos différents comptes en ligne avec une identification à deux facteurs. Cette technologie offre une couche de protection supplémentaire en plus du mot de passe : un code est envoyé à votre téléphone, généralement par message texte, lorsque vous tentez de vous enregistrer dans un compte en ligne.
Mais cette méthode n’est plus aussi étanche. « Les pirates ont compris qu’ils avaient besoin de contourner cette protection », explique Kevin Haley, directeur et gestionnaire de produit de l’entreprise de sécurité informatique Symantec. « La solution qu’ils ont trouvée est la fraude par échange de carte SIM. »
La petite carte rectangulaire dans votre téléphone permet de lier celui-ci à votre réseau cellulaire. En se faisant passer pour vous auprès de votre opérateur, un pirate malintentionné peut temporairement mettre la main sur votre compte de téléphone. Il n’a par exemple qu’à prétendre que vous avez perdu votre carte SIM.
Une nouvelle carte SIM est alors activée. Les appels et textos que vous recevrez ne s’afficheront plus sur votre téléphone, mais plutôt sur le sien. « Ce n’est pas très difficile à faire, selon Kevin Haley. Tout ce qu’il faut, c’est connaître quelques informations personnelles sur la personne ciblée. »
Accéder à vos messages textes permet alors de contourner les protections à deux facteurs, mais aussi d’accéder à un plus grand nombre de comptes en ligne — comme un compte bancaire ou un réseau social —, puisque les messages textes peuvent souvent être utilisés pour retrouver un mot de passe oublié.
Une fraude qui gagne en visibilité
Personne n’a encore chiffré l’importance des fraudes par échange de carte SIM (appelées SIM swap en anglais). « De par sa nature, il s’agit d’une fraude ciblée, qui est donc moins courante que les tentatives d’hameçonnage où un courriel est envoyé à un million de personnes », dit Kevin Haley.
Plusieurs cas de fraude visible ont toutefois défrayé la chronique au cours des derniers mois. Un Américain poursuit par exemple l’opérateur AT&T pour s’être fait voler des millions de dollars en bitcoins à la suite d’une fraude semblable. Des vedettes et influenceurs se sont aussi fait pirater leur compte Instagram, tandis qu’un cercle de voleurs utilisant cette technique a vidé les comptes bancaires de ses victimes pendant près de deux ans avant d’être démantelé plus tôt cette année.
Le danger avec la fraude par échange de carte SIM est qu’elle permet d’attaquer même les utilisateurs qui protègent bien leurs comptes en ligne et qui détiennent des informations importantes (ou beaucoup d’argent). Les propriétaires de cryptomonnaies sont particulièrement ciblés.
Jusqu’ici, la plupart des cas de fraude ont été découverts aux États-Unis. Au Canada, le portrait de la situation est encore flou. L’Association canadienne des télécommunications sans fil affirme à L’actualité ne pas avoir de données sur ce type de fraude. Chez les principaux opérateurs, seul Vidéotron confirme ne pas en avoir été victime. Chez les autres, on soutient être conscient du problème, sans pour autant le chiffrer.
Pour Kevin Haley, ce n’est qu’une question de temps avant que cette fraude gagne en importance. « Les cybercriminels apprennent les uns des autres. Avec tous ces cas récents qui ont permis aux pirates d’amasser beaucoup d’argent, c’est sûr que nous allons en voir de plus en plus. »
Conseils pour minimiser les risques
Puisque la fraude par échange de carte SIM se déroule principalement auprès des opérateurs, il y a malheureusement peu de moyens de s’en prémunir complètement. Quelques conseils peuvent néanmoins permettre de réduire les risques.
1 – Protéger son compte
Certains opérateurs, notamment Bell et Vidéotron, permettent de protéger son compte avec un mot de passe supplémentaire, qui est demandé lorsqu’une nouvelle carte SIM est activée. Ceux qui craignent une attaque par échange de carte SIM devraient réclamer une telle protection en téléphonant au service à la clientèle.
La mesure n’est toutefois pas parfaite. « Certains pirates soudoient des employés dans les petites boutiques des opérateurs pour contourner ces protections », note Kevin Haley de Symantec. Le réseau de fraudeurs par échange de carte SIM démantelé cette année aux États-Unis disposait d’ailleurs d’un contact chez l’opérateur américain T-Mobile pour accéder aux comptes de personnes importantes.
2 – Privilégier les autres formes de sécurité à deux facteurs
La protection à deux facteurs est toujours recommandée par les experts, même avec les risques de fraude par échange de carte SIM. Lorsque c’est possible, il est cependant préférable d’obtenir son second facteur à l’aide d’un autre moyen qu’un message texte. Google offre par exemple l’option d’obtenir vos codes grâce à une application mobile, qui ne tombera pas entre les mains d’un fraudeur s’étant emparé de votre compte de téléphone cellulaire.
3 – Réagir rapidement
La fraude par échange de carte SIM est facile à déceler, puisqu’elle déconnecte du réseau votre téléphone, qui ne peut alors plus faire d’appels ou accéder à Internet. Quand cette situation survient, il est donc important d’entrer en contact rapidement avec votre opérateur pour connaître la raison du problème.
