Pour les experts en cybersécurité, LA menace de 2021 n’est pas un logiciel malveillant au nom exotique. Mais le «SIM swap», une arnaque d’une simplicité quasi enfantine.
L’idée est de profiter des lacunes de la double authentification sur des sites d’e-commerce, par exemple. En plus du mot de passe, le site réclame la saisie d’un code qu’il envoie à son client par SMS. Le hacker récupère le SMS et s’approprie les codes d’identification.
S’il a fait ses devoirs et a récupéré d’autres informations à propos du client sur le site d’e-commerce, il va ensuite appeler l’opérateur téléphonique. Prétextant que sa carte SIM est défaillante, il va tenter d’obtenir que celui-ci active une autre carte SIM en sa possession. L’opérateur va demander sa date de naissance ou son adresse et le tour est joué. Le hacker va ensuite pouvoir très vite récupérer beaucoup de données sur le client.
Voire, comme dans le réseau qu’Europol vient de mettre au tapis, les codes d’accès de portefeuilles électroniques en bitcoins. Les dix hackers, un Belge, un Maltais et huit Américains, ciblaient les smartphones de célébrités, du monde du show-business ou du sport, et sont présumés avoir détroussé ces VIP de 100 millions de dollars en cryptomonnaies.
Tout dans cette histoire rappelle , avant de faire toute une série de nouvelles victimes dans la foulée.
Depuis le début de l’année, la deuxième directive sur les services de paiement est entrée en vigueur au Luxembourg, où , qui prévoit deux des trois éléments suivants:
- un élément que seul l’acheteur connaît (code secret, mot de passe, etc.);
- un élément que seul le client possède (une carte bancaire, l’accès à l’application de la banque par son téléphone mobile);
- une caractéristique biométrique (empreinte digitale, voix, balayage de l’iris, etc.).
Mais de nombreux sites – pas forcément basés au Luxembourg – continuent de proposer de s’authentifier avec son mot de passe et un code qu’ils envoient par SMS. La prudence voudrait que le consommateur préfère un token.