ENTREPRISES & STRATÉGIES — Technologies

Cybersécurité

Un «SIM swap» à 100 millions de dollars



Les hackers utilisent le SMS reçu avec le code d’accès à un site d’e-commerce afin de demander à l’opérateur de modifier la carte SIM de votre téléphone et obtiennent ainsi toutes les informations dont ils ont besoin. (Photo: Shutterstock)

Les hackers utilisent le SMS reçu avec le code d’accès à un site d’e-commerce afin de demander à l’opérateur de modifier la carte SIM de votre téléphone et obtiennent ainsi toutes les informations dont ils ont besoin. (Photo: Shutterstock)

Europol a arrêté dix hackers, huit aux États-Unis, un en Belgique et un à Malte, qui ont dérobé plus de 100 millions de dollars en monnaies cryptées à des célébrités et autres stars. Avec une arnaque à la portée du premier venu. Le «SIM swap», la menace de 2021.

Pour les experts en cybersécurité, LA menace de 2021 n’est pas un logiciel malveillant au nom exotique. Mais le «SIM swap», une arnaque d’une simplicité quasi enfantine.

L’idée est de profiter des lacunes de la double authentification sur des sites d’e-commerce, par exemple. En plus du mot de passe, le site réclame la saisie d’un code qu’il envoie à son client par SMS. Le hacker récupère le SMS et s’approprie les codes d’identification.

S’il a fait ses devoirs et a récupéré d’autres informations à propos du client sur le site d’e-commerce, il va ensuite appeler l’opérateur téléphonique. Prétextant que sa carte SIM est défaillante, il va tenter d’obtenir que celui-ci active une autre carte SIM en sa possession. L’opérateur va demander sa date de naissance ou son adresse et le tour est joué. Le hacker va ensuite pouvoir très vite récupérer beaucoup de données sur le client.

Voire, comme dans le réseau qu’Europol vient de mettre au tapis, les codes d’accès de portefeuilles électroniques en bitcoins. Les dix hackers, un Belge, un Maltais et huit Américains, ciblaient les smartphones de célébrités, du monde du show-business ou du sport, et sont présumés avoir détroussé ces VIP de 100 millions de dollars en cryptomonnaies.

Tout dans cette histoire rappelle la Chuckling Squad, du nom de ces hackers qui étaient parvenus à prendre le contrôle du compte Twitter de son CEO, Jack Dorsey, en août 2019 , avant de faire toute une série de nouvelles victimes dans la foulée.

Depuis le début de l’année, la deuxième directive sur les services de paiement est entrée en vigueur au Luxembourg, où les banques ont invité leurs clients à s’assurer qu’ils n’auraient pas de problème avec la double authentification , qui prévoit deux des trois éléments suivants:

- un élément que seul l’acheteur connaît (code secret, mot de passe, etc.);

- un élément que seul le client possède (une carte bancaire, l’accès à l’application de la banque par son téléphone mobile);

- une caractéristique biométrique (empreinte digitale, voix, balayage de l’iris, etc.).

Mais de nombreux sites – pas forcément basés au Luxembourg – continuent de proposer de s’authentifier avec son mot de passe et un code qu’ils envoient par SMS. La prudence voudrait que le consommateur préfère un token.