1987 liens privés
Les fraudes impliquant les cartes SIM posent un sérieux problème aux internautes. En s’emparant de votre numéro de téléphone, un pirate peut compromettre l’ensemble de votre vie numérique, notamment en accédant à vos comptes bancaires ou à vos cryptomonnaies. Faisons le point sur ces cyberattaques basées sur le vol de numéro de téléphone.
Ces dernières années, les attaques de type « SIM Swap » se sont multipliées à l’échelle mondiale et une étude de Wich un organisme britannique de défense des consommateurs, révèle une augmentation de 400 % du nombre d’attaques entre 2015 et 2020. En un an seulement, plus de 68 millions de dollars ont été perdus dans des escroqueries liées aux cartes SIM, avertit le FBI.
Le SIM Swap : attaque et conséquences
Une attaque SIM Swap, ou échange de carte SIM, est une fraude informatique qui consiste à prendre le contrôle d’un numéro de téléphone en transférant ce numéro sur une autre carte SIM. Cela permet au cybercriminel de recevoir ou d’envoyer des SMS à votre place, de passer des appels téléphoniques ou d’utiliser votre connexion Internet. Une fois le transfert effectué, le véritable propriétaire de la carte SIM se rend compte que son numéro de téléphone a été désactivé à son insu.
Initialement, le cybercriminel recueille des informations sur sa victime, telles que son adresse, sa date de naissance ou son adresse e-mail, puis contacte l’opérateur téléphonique de la victime en se faisant passer pour elle. Avec ces informations, il usurpe l’identité de la victime pour convaincre l’opérateur de transférer le numéro de téléphone sur une nouvelle carte SIM. Une fois la demande acceptée, la nouvelle carte SIM est envoyée à une adresse spécifiée par le pirate. Parfois, le pirate peut également obtenir un code d’authentification envoyé par SMS en se faisant passer pour la victime.
Pour mener à bien cette attaque, le cybercriminel peut également pirater directement le compte de l’opérateur téléphonique de la victime en utilisant des identifiants volés. Une fois connecté, il demande le transfert du numéro de téléphone sur une nouvelle carte SIM ou une carte SIM virtuelle (eSIM).
Quelles sont les conséquences d’un numéro de téléphone piraté ?
Une fois qu’un cybercriminel a détourné une carte SIM, il peut accéder à tous les services en ligne qui requièrent un numéro de téléphone pour l’authentification. Par conséquent, il peut contourner les mesures de sécurité à deux facteurs en recevant les codes de validation par SMS. Cela lui permet d’accéder à des comptes bancaires, des boîtes e-mails ou des plateformes de cryptomonnaies, et d’effectuer des transactions frauduleuses.
Prévenir les attaques SIM Swap : Conseils de Sécurité Numérique
Les attaques SIM Swap sont souvent le résultat de fuites de données massives. Les pirates ont besoin de nombreuses informations personnelles pour réussir à convaincre un opérateur téléphonique de transférer un numéro de téléphone sur une nouvelle carte SIM. Avec l’augmentation des fuites de données, notamment en France, les cybercriminels disposent de plus en plus d’informations pour mener à bien ces attaques.
Pour protéger son numéro de téléphone, il est recommandé de limiter la quantité de données personnelles accessibles en ligne. Il est également conseillé d’utiliser des méthodes d’authentification à deux facteurs alternatives, telles que des applications d’authentification ou des clés de sécurité physiques. En améliorant son hygiène numérique et en évitant de divulguer des informations sensibles en ligne, on peut réduire les risques d’attaque SIM Swap.
Receive and send emails anonymously.
Apparemment c’est la grande mode actuellement de demander aux gens de taper dans les gifs (sur Twitter, Facebook et ailleurs) leur nom, prénom, année, mois ou jours de naissance, ville d’origine, dernier chiffres du téléphone, etc. :
Alors ça peut sembler innocent, et ça l’est sûrement la plupart du temps, mais c’est aussi une méthode pour obtenir des informations assez rapidement sur quelqu’un (ou plein de monde).
Si on demande la ville de naissance et que ça sort la Tour Eiffel, hop, j’ai ta ville de naissance.
Si on demande l’année de naissance et que ça sort le mur de Berlin, j’ai ton année de naissance.
Ça peut aller loin. En faisant au préalable une table en cherchant les prénoms usuels, on peut associer des gifs aux prénoms et ainsi trouver le prénom des gens en fonction de leur gif.
Qu’est-ce que ça peut foutre que l’on connaisse de moi ces informations ?
Je sais pas. Rappelez-moi comment un bon nombre de sites sécurisent les comptes utilisateurs ? « Quelle est votre ville de naissance ? », « Quelle est votre deuxième prénom ? », ça vous dit quelque chose ?
Et ça c’est seulement à distance.
Si la personne est mal intentionnée et cible sa victime (harceleur, etc.), il peut être très content d’avoir le plus d’informations sur vous. Ne serait-ce que pour bluffer en envoyant un mail d’hameçonnage listant tout ce qu’il sait sur vous (histoire de sembler crédible) pour vous extorquer de l’argent (ou d’autres renseignements).
Ou encore pour se faire passer pour vous après d’un autre site (qui va demander date de naissance, ville de naissance, etc.), ou d’un de vos amis auprès d’un proche, votre voisin, etc.
Comme j’ai dit, ces posts peuvent sembler innocents. Mais ça reste une technique d’ingénierie sociale.
Ne répondez pas à ces trucs-là.
"Je ne perds jamais. Soit je gagne, soit j’apprends." Par ces mots, Nelson Mandela aurait pu inspirer les départements victimes d’une cyberattaque. Notamment celui des Alpes-Maritimes. La collectivité territoriale avait subi une retentissante fuite de données, dans la nuit des 9 au 10 novembre 2022. Trois mois après, les départements cherchent à en tirer les leçons.
Rendez-vous à Nice pour un débrief
C’est à Nice, justement, que l’Assemblée des Départements de France (ADF) vient d’organiser son séminaire sur la cybersécurité. Au sein même de ce conseil départemental pris pour cible par le collectif Play Ransomware. Ces hackers s’étaient approprié 282 Go de données, avant de les diffuser. Soit 0,1 % du volume total des données de la collectivité.
Consolation pour le Département 06, si l’on peut dire : il n’est pas le seul à avoir subi pareille mésaventure. Neuf départements, quatre régions et 81 communes sont passés par là.
Trois mois après, le Département de Seine-et-Marne ne tourne encore qu’à 75 % de ses capacités. En deux ans, les cyberattaques ont bondi en France de 400 %.
La crainte du "rideau noir"
Au moins, "chez nous, les dégâts sont relativement mineurs", assure Charles Ange Ginésy, le président de l’instance départementale. Quelques photocopies de documents d’identité, entre autres, ont tout de même eu le temps de fuiter. L’alerte rapide a permis de tout éteindre, redémarrer secteur par secteur, et revenir à la normale en quinze jours.
Partant de là, "nous avons voulu faire le point sur les solutions apportées par les départements victimes d’attaques, en lien avec l’État", explique François Sauvadet, président de l’ADF. Le retour d’expérience du Département 06 a été "précieux". "Nous avons élaboré un process qui doit engager chacun des usagers du service et les agents eux-mêmes." Objectif : éviter "le rideau noir".
Le maître-mot: «"Vigilance". Après la cyberattaque de novembre, le premier réflexe demandé aux agents départementaux a été de muscler leurs mots de passe. Et de soigner leur déconnexion. "Il faut respecter un code de fermeture. Quand vous ne fermez pas la porte de votre tablette, c’est comme si vous ouvriez la porte de votre maison alors que rôdent des cambrioleurs", met en garde François Sauvadet.
"Intervenir sitôt l’anomalie repérée"
Parmi les grands axes d’action ? "Renforcer les outils d’alerte." "Organiser les données en silo, pour éviter qu’elles ne soient toutes contaminées en cas d’attaque." "Analyser le risque pour hiérarchiser les données à conserver."
Et surtout, "intervenir tout de suite, dès que vous repérez l’anomalie". Chaque département dispose aujourd’hui d’un référent cybersécurité.
Le protocole azuréen sera transmis à l’ANSSI (agence nationale de la sécurité des systèmes d’information), puis partagé aux départements, voire aux communes. Un outil utile pour des départements "au cœur de la révolution numérique", dixit François Sauvadet. Essentiel pour la qualité du "service offert aux Français". Et pour conserver leur confiance.