SK Telecom remplace des millions de cartes SIM suite à une cyberattaque

De longues files d'attente se sont formées lundi devant les 2 600 points de vente de SK Telecom en Corée du Sud. L'opérateur numéro un du pays demande en effet à ses clients de venir échanger gratuitement en magasin leur carte SIM (Subscriber Identity Module), afin de prévenir les conséquences d'une attaque survenue sur ses infrastructures informatiques le 18 avril dernier.

Une attaque sur les serveurs de SK Telecom

L'opérateur a annoncé disposer d'environ 1 million de cartes SIM en stock, alors qu'il revendique 23 millions de clients dans la péninsule, et que tous les clients qui disposaient d'une ligne active dans les 24 heures précédant le 18 avril sont éligibles au remplacement. SK Telecom s'est tout de même voulu rassurant, affirmant que 5 millions de cartes SIM supplémentaires seraient disponibles dans le courant du mois de mai.

La première alerte a été émise le 22 avril dernier. SK Telecom signale alors une intrusion au sein de son système d'information, réalisée au moyen d'un logiciel malveillant. L'opérateur indique avoir immédiatement isolé et nettoyé les services concernés, mais prévient que des données personnelles ont été divulguées, sans en préciser la nature. Il signale également avoir prévenu les autorités locales compétentes qui ont, dans la foulée, annoncé l'ouverture d'une enquête.

Des médias locaux révèlent le même jour que les informations dérobées seraient relatives aux lignes téléphoniques des clients avec, entre autres, le numéro d'identifiant international de l'abonné (IMSI) le numéro d'identification du terminal (IMEI) et la clé d'authentification de la carte SIM. SK Telecom confirme à demi-mots l'information en incitant ses clients à souscrire ses services de protection de cartes SIM, qui visent à empêcher qu'une ligne puisse être clonée ou transmise à un autre téléphone que celui déclaré par l'usager.

Des services bancaires mobiles suspendus

C'est ce risque d'usurpation d'identité qui motive l'annonce, formulée le 25 avril au milieu d'une longue série d'excuses, d'un programme de renouvellement des cartes SIM. Le remplacement n'est plus une option : la plupart des grandes banques et institutions financières de Corée du Sud ont annoncé la suspension temporaire de leurs services d'authentification mobile pour des raisons de sécurité, rapporte la presse locale.

Le sujet provoque également de nouveaux remous dans un paysage politique déjà troublé. Plusieurs voix s'élèvent, dans les rangs de la majorité comme dans ceux de l'opposition, pour dénoncer le délai de réaction et certaines insuffisances dans la réponse apportée à cette situation de crise.

D'où émane l'attaque ?

La Korea Internet & Security Agency (KISA, homologue sud-coréenne de l'ANSSI française) a publié une alerte le 25 avril, relative à un code malveillant utilisé dans des attaques repérées par ses soins. « Des cas récents d’attaques de piratage ciblant des systèmes majeurs ont été confirmés et nous partageons des informations sur les menaces », écrit l'agence, qui ne mentionne pas SK Telecom, mais laisse peu de place au doute.

Les informations de fichier qu'elle publie renvoient vers un malware de type rootkit baptisé BPFDoor (BPF pour Berkeley Packet Filtering), qui circule depuis 2021 et dont Trend Micro décrit en détails le fonctionnement.

L'éditeur souligne que BPFDoor fait partie des outils notoirement utilisés par un groupe chinois connu sous les noms de Earth Bluecrow ou Red Menshen, auteur de plusieurs attaques d'envergure contre des opérateurs ou des institutions financières au cours des douze derniers mois. Aucun lien formel n'a cependant été établi entre ce groupe et l'attaque visant SK Telecom.