Dans cet article, nous allons découvrir l’une des pires escroqueries de carte SIM: l’échange de carte SIM. Si votre mobile n’est plus couvert, ayez peur: une nouvelle fraude téléphonique connue sous le nom de “ SIM swapping ” est utilisée afin qu’un cyber-attaquant duplique notre numéro de téléphone et utilise ce système pour usurper notre identité, nous authentifier dans notre banque et nous voler tout l’argent.
Le PDG de Twitter a été victime d’escroqueries sur la carte SIM
Il y a déjà des victimes d’une fraude qui a été utilisée à d’autres fins: Jack Dorsey, co-fondateur de Twitter, s’est fait voler son compte de service avec le même système, ce qui met une fois de plus en évidence la faiblesse de mécanismes comme les SMS à deux. systèmes d’authentification par étapes. C’était une bonne option à l’origine, mais comme nous l’avons dit par le passé, il est bien plus conseillé d’utiliser des applications d’authentification indépendantes, et non les SMS qui sont de plus en plus vulnérables dans ce domaine.
Que ne devez-vous PAS faire pour empêcher le changement de carte SIM?
Il y a ici deux problèmes clairs: premièrement, commander une carte SIM en double est relativement simple. Deuxièmement, l’utilisation du SMS comme système pour proposer une authentification en deux étapes ou à deux facteurs (2FA) a longtemps été vulnérable à diverses attaques, et ce n’est que la dernière – mais probablement la plus inquiétante – de toutes. .
Ce technique permet de contourner les mesures de sécurité qui placent le mobile comme un instrument de vérification de notre identité, et cela est dangereux comme on l’a vu dans la sphère économique, mais aussi dans de nombreux autres scénarios.
Nous désactivons temporairement la possibilité de tweeter par SMS ou SMS pour protéger les comptes des utilisateurs.
– Assistance Twitter (@TwitterSupport) 4 septembre 2019
Cela a été démontré ces jours-ci lorsque le co-fondateur et PDG de Twitter, Jack Dorsey, a subi une attaque similaire qui a soudainement fait apparaître des messages offensants et racistes sur son compte Twitter (@jack) qui ont ensuite été supprimés.
L’échange de carte SIM peut entraîner un vol d’identité
Le problème était dû à ce vol d’identité qui a provoqué un opérateur de téléphonie aux États-Unis – il n’est pas précisé lequel – a permis à l’attaquant d’obtenir un double de la carte SIM de Dorsey, ce qui a permis à cet attaquant d’utiliser la fonction de publication sur Twitter. par SMS était l’une des caractéristiques originales du service.
Les messages offensants ont déclenché une réaction immédiate de Dorsey, qui a annoncé que Twitter désactivait la livraison de messages à la plateforme via SMS.
Protégez-vous contre l’échange de cartes SIM: comment empêcher l’échange de cartes SIM?
Le problème de cette cyberattaque est qu’elle a deux visages largement séparés, tous deux avec leur propre solution interdépendante: si les deux ne sont pas résolus, le problème continuera.
Le premier concerne ceux qui gèrent ces informations, les opérateurs, qui devraient être beaucoup plus exigeants lorsqu’il s’agit de fournir des duplicata d’une carte SIM. Les contrôles d’identité ici doivent être complets pour éviter les problèmes qui se sont produits avec ces cas.
Les banques, les institutions financières et toute autre plate-forme qui utilise encore le SMS comme système d’authentification en deux étapes ont également des tâches en attente. C’est une méthode populaire et pratique, mais comme nous l’avons vu, elle est très vulnérable depuis longtemps, comme l’a souligné l’expert en sécurité Bruce Schneier. C’est pour cette raison que toutes ces entreprises devraient éradiquer les SMS de leurs systèmes d’authentification en deux étapes et utiliser d’autres alternatives.
Utilisez 2FA / U2F contre les attaques de swap SIM
Les applications d’authentification qui remplacent les SMS et peuvent être installées sur nos mobiles sont parmi les plus recommandées actuellement. Microsoft Authenticator, Google Authenticator ou Authy sont parmi les plus connus, et si nous pouvons les utiliser – la plate-forme avec laquelle nous travaillons doit prendre en charge cette option – ils sont beaucoup plus sécurisés que l’authentification par SMS.
Les clés U2F (Universal 2nd Factor keys) sont encore plus intéressantes, une norme d’authentification ouverte qui utilise des clés physiques et qui a la norme FIDO2 comme dernière implémentation. Des fabricants comme Yubico sont bien connus pour ces solutions, mais même Google a récemment voulu entrer dans ce segment avec ses clés de sécurité Titan, bien qu’il ait récemment annoncé qu’un téléphone Android pourrait également devenir une clé de sécurité.
