Le SIM-swapping, ou échange de carte SIM, est une technique par laquelle un criminel fait en sorte que tous les appels et les SMS de la victime soient redirigés vers la carte SIM de l’escroc. Cela lui permet d’une part de se faire passer pour la victime et d’autre part de déjouer les authentifications à deux facteurs.
Dans le cas du SIM-swapping, l’attaquant prend quasiment le contrôle de la carte SIM de la victime. Cela ne se fait pas en volant ou en piratant la carte SIM. Au lieu de cela, l’escroc s’adresse à l’opérateur de téléphonie mobile de la victime (dont il connaît le numéro de téléphone) en prétendant être la victime et avoir perdu son téléphone. Il demande ensuite de transférer les données de la carte SIM vers une autre carte SIM ou d’obtenir une carte SIM de remplacement.
Si l’escroc a récupéré suffisamment d’informations personnelles sur Internet ou par le biais d’un logiciel espion sur l’ordinateur de la victime (date de naissance, nom de naissance de la mère, nom de l’animal de compagnie, de l’école primaire, codes PIN ou autres), il peut se faire passer pour la victime de manière crédible au téléphone et organiser le transfert des données ou commander une carte SIM de remplacement puis l’intercepter par la poste. Parfois, les criminels travaillent également avec des complices travaillant pour les opérateurs téléphoniques. Mais le résultat est toujours le même : Au final, le criminel a votre numéro de téléphone portable.
L’échange de carte SIM est bien plus qu’un désagrément, car les escrocs peuvent faire de gros dégâts en utilisant votre numéro de téléphone. Tout d’abord, vous pouvez bien sûr passer des appels en vous faisant passer pour vous, car nombre de vos relations d’affaires, qu’il s’agisse de personnes ou d’institutions, ont enregistré votre numéro de téléphone et l’utilisent pour vous vérifier de manière quasi tacite.
Mais la fraude par SMS est encore plus populaire. En effet, de nombreux services en ligne utilisent désormais des messages SMS pour l’authentification à deux facteurs. Suite à de nombreuses fuites massives de données ces dernières années, les cybercriminels ont désormais accès à des millions de noms d’utilisateur et de mots de passe. (Les clients Perseus vérifient ici si l’un de leurs comptes est concerné). L’authentification à deux facteurs garantit qu’ils ne peuvent malgré tout pas accéder à vos données – à moins qu’ils n’aient accès à vos messages SMS. De plus, de nombreux comptes en ligne permettent désormais de réinitialiser les mots de passe oubliés à l’aide d’un code que vous recevez – vous vous en doutez – par SMS. Dans ce cas, il suffit d’un nom d’utilisateur et d’une carte SIM pour accéder aux comptes de clients de commerçants en ligne, de banques ou d’autres entreprises.
Et peut-être le pire des cas : certaines banques utilisent encore des mTans, c’est-à-dire des TAN bancaires envoyés par SMS sur le téléphone portable du client. Dans ce cas, si quelqu’un connaît vos codes d’accès bancaires et a accès à votre téléphone portable, il peut vider votre compte bancaire.
Le plus important : agir rapidement ! Si vous ne pouvez soudainement plus téléphoner et ne recevez plus de SMS, alors que tout est par ailleurs techniquement en ordre, contactez immédiatement votre opérateur de téléphonie mobile et bloquez votre carte SIM.
Si vous avez l’option d’utiliser un deuxième compte de messagerie électronique pour l’authentification à deux facteurs au lieu des SMS, utilisez cette possibilité.
À titre préventif, vous pouvez également contacter directement votre opérateur de téléphonie mobile et lui demander de créer un code PIN de sécurité sans lequel personne ne pourra modifier votre compte client – et donc de ne pas commander une nouvelle carte SIM.
