Europol annonce l'arrestation de 10 criminels accusés d'une série d'attaques par échange de cartes SIM (« SIM swap ») ciblant des milliers de victimes tout au long de 2020, notamment de célèbres influenceurs, stars du sport, musiciens et leurs familles. Ils leur auraient volé plus de 100 millions de dollars de crypto-monnaies après avoir illégalement accédé à leurs téléphones.
Lancée au printemps 2020, l'enquête a révélé comment un réseau composé d'une dizaine de criminels travaillait ensemble pour accéder aux numéros de téléphone des victimes et prendre le contrôle de leurs applications ou comptes en modifiant les mots de passe.
Ce type de fraude est connu sous le nom de « sim swapping » et a été identifié comme une tendance clé à la hausse dans la dernière évaluation de la menace de la criminalité organisée sur Internet d'Europol. Cela implique que les cybercriminels prennent le contrôle de l'utilisation du numéro de téléphone d'une victime en désactivant essentiellement sa carte SIM et en transférant le numéro attribué sur une carte SIM appartenant à un membre du réseau criminel.
Europol rappelle que les célébrités ne sont pas les seules à être attaquées de la sorte, et conseille non seulement de mettre à jour ses logiciels et OS, de ne pas répondre aux emails suspects, de ne pas associer son numéro de téléphone à ses comptes en lignes sensibles, mais également d'utiliser l'authentification à deux facteurs pour vos services en ligne, plutôt que d'envoyer un code d'authentification par SMS.
Commentaires (44)
#1
En fait, cette fraude n’est pas si discrète, si la carte SIM originale, possédée par l’utilisateur, est désactivée. Bon, le mal sera déjà fait avant de pouvoir réagir…
#2
Quatre le fois le mot criminel dans son sens anglophone, ça me déçoit.
Ce n’est pas bien joli ce qu’ils ont fait, mais il n’ont tué ou violé personne selon cette nouvelle.
Les mots on un sens, si l’on le change par praticité, on affaiblit la pensée.
NexInpact peut mieux faire…
#2.1
Quand on se plaint du choix des mots d’une personne, on fait au moins l’effort d’écrire convenablement.
#2.2
Criminel dans le sens qui commet un crime. Pas uniquement un meurtre ou un assassinat, si c’est à ça que tu penses, car le Larousse donne aussi une autre définition du crime : “Infraction que la loi punit d’une peine de réclusion ou de détention comprise entre 10 ans et la perpétuité (par opposition à contravention et à délit).”
Dans cette affaire, je ne serais pas étonné que les auteurs risquent plus de 10 ans
#2.3
j’ai bien compris, mais voici ce qu’en dit Wikipedia :
« Le code pénal français qualifie ainsi de crime : le meurtre, homicide volontaire non prémédité, l’assassinat (homicide volontaire prémédité), mais aussi d’autres infractions pénales telles que le viol.»
Dans cette nouvelle c’est le sens Anglos-Saxons qui prime (et je m’en plains car NextInpact est censé être francophone).
#2.4
Pauvre chochotte ! C’est pas gentil ! Vilain le rédacteur de l’article ! Pas beau, pas gentil ! Les pauvres malfaiteurs, traités de criminels. “Criminal” peut se traduire en effet par “criminel” ou “malfaiteur”.
#2.5
Il semble que dans ton cas, la pensée est déjà trop limitée pour comprendre des nuances aussi simples.
Toi t’es un dur, tu causes anglais.
Téléphagie avancée ?
#3
Il faut surtout ne jamais stocker ses crypto-monnaies à un endroit qui ne t’appartient pas. Là ça veut dire que ceux qui ont été volés les avaient stockées chez un prestataire (souvent un exchange ou un portefeuille en ligne dit “facile d’utilisation”, avec un accès de secours pouvant être détourné). Il ne faut jamais faire ça, même certains exchanges le disent.
Toujours utiliser des portefeuilles dont on a la clé privée, et dont personne d’autre ne l’a. Et lors de l’utilisation des exchanges, limiter le montant exposé et le temps d’exposition au minimum nécessaire à la réalisation de l’opération voulue, puis retirer.
#3.1
ça marche si tu comptes garder ta crypto au chaud en attendant que le BTC atteigne les $200 000.
si tu trades tu peux pas stocker en cold wallet.
#3.2
Mais même dans cette configuration, il faut bien le mot de passe du portefeuille de crypto ? Donc il était aussi stocké sur le téléphone ?
#4
J’ai rien compris
#4.1
Les malfaiteurs créent une copie de la carte sim de la victime (comme certains font des doublettes de plaque d’immatriculation d’automobile), et comme ça tous les SMS destinés à la victime arrivent chez le copieur.
À partir de là, pas mal de services permettent de s’authentifier/valider une transaction/etc. par SMS, les codes d’authentification arrivent chez le malfaiteur qui s’en sert pour détourner les bitcoins.
En tout cas c’est ce que j’ai compris
#4.3
Mais comment copier une carte SIM sans un accès physique ? C’est bien énigmatique là. Ou alors il y a des protocoles qui ont été crackés ? Sinon, quand le carte SIM originale est désactivée, ça ne passe pas inaperçu, non ?
#4.4
Un peu de social engineering auprès de l’opérateur mobile, et tu fais envoyer une nouvelle carte SIM utilisant le numéro de téléphone de la cible. Dès que tu as récupéré la SIM, tu demandes une réinitialisation du mot de passe de la boite mail (le SMS est souvent l’une des solutions proposées). Et pour finir, tu demandes une réinitialisation du mot de passe du site web.
Apparemment, il est même possible d’activer des cartes SIM qui sont déjà en possession du fraudeur. Dans ce cas, c’est une question de minutes pour exécuter la fraude. Perso j’en étais encore aux cartes SIM envoyées par la poste
https://us.norton.com/internetsecurity-mobile-sim-swap-fraud.html
#4.2
Moi je n’ai pas compris comment c’est possible sans pirater le réseau téléphonique même, surtout si on n’y a pas de complicités…
#5
Pas vraiment. Si tu fais souvent des échanges d’une crypto à une autre pour profiter des hausses, normalement ça veut dire que tu gardes chaque crypto un minimum de temps, et donc tu peux retirer chacune d’elles en attendant.
Si tu trades très activement (en intraday), alors à mon sens il vaut faire du trading à marge ce qui te permet d’avoir moins à déposer. Ou de trader sur CFD ou Future, avec des marges disponibles plus grandes. Après on n’est plus trop dans le type d’utilisateur le plus exposé au problème que j’évoquais.
Cependant le conseil reste valable dans une certaine mesure. Même quand je fais du trading intensif sur Forex ou indices, je ne dépose toujours que le minimum me permettant de remplir les conditions de marge, et j’utilise au maximum l’effet de levier offert. Je laisse le reste à la banque puis je fais des virements réguliers dans un sens ou l’autre suivant les résultats, c’est gratuit et ça va vite maintenant.
#6
C’est marrant, pas un mot sur le laxisme et la responsabilités des opérateurs mobiles (car c’est à cause de ça que le “sim swapping” est aussi aisé).
“utiliser l’authentification à deux facteurs pour vos services en ligne, plutôt que d’envoyer un code d’authentification par SMS.”
Le code d’authentification par SMS est une authentification à 2 facteurs (le 1er étant le mot de passe qu’il a fallu saisir avant que le SMS soit envoyé)
Ici, il me semble que le problème est dû au fait que l’opérateur mobile demande peu d’informations avant de désactiver une carte SIM valide (mais signalée comme défectueuse, perdue, volée, …) et d’envoyer une nouvelle carte SIM à un usurpateur. Puis la carte SIM permet de voler le compte mail (réinitialisation du mot de passe par simple validation SMS), puis de voler le compte utilisateur (réinitialisation du mot de passe par l’envoi d’un lien sur le compte mail)
#6.1
Il me semble que même en mettant ce problème de côté, les SMS sont considérés comme peu sûrs de base. Je crois me rappeler d’attaques, accessibles par un pirate motivé, où il est possible d’usurper l’identité d’un abonné mobile, par exemple, afin de détourner ses SMS.
#6.2
Oui, tu peux accéder aux SMS car ils transitent en clair (hors protocole 3G/4G/5G), mais c’est quand même bien plus compliqué que le sim swapping (quand à les détourner, je pense que c’est encore plus compliqué, car nécessite l’accès au réseau d’un des opérateurs qui l’achemine afin qu’il ne soit pas distribué)
#6.3
Compliqué ? J’avais cru lire le contraire. De mémoire, quelque chose comme monter une (fausse) antenne cellule, faire croire que l’abonné X est connecté dessus et recevoir tout ce qui est destiné à cet abonné via cette cellule factice. Alors, oui, il faut un peu de matos, mais rien d’hors de prix de nos jours pour une personne ou un groupe un tant soi peu motivé.
#6.10
Là c’est une interception, pas autre chose.
#6.4
C’est tellement peu sur que si ma mémoire est bonne depuis le 31 décembre il est interdit d’utiliser la validation par SMS au niveau des transactions bancaires
#6.5
La double authentification par SMS reste toujours possible.
L’article L133-4 du code monétaire et financier dispose que :
f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories “ connaissance ” (quelque chose que seul l’utilisateur connaît), “ possession ” (quelque chose que seul l’utilisateur possède) et “ inhérence ” (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ;
Et des banques considèrent encore que la vérification de la possession de la SIM suffit.
C’est le cas du LCL ou de Fortunéo pour celles que je connais.
On est d’accord que ce ne devrait pas être le cas à cause des techniques de SIM swapping ou autres attaques, mais il va falloir attendre des jugements pour voir s’ils ont raison ou non. Et ça risque d’être épique entre la responsabilité de la banque et celle de l’opérateur qui a rendu possible l’attribution du numéro à un autre que l’abonné légitime.
Tu n’as rien compris non plus ! (sur la première partie de ton message)
Ils ne font pas une copie de carte SIM, ils font invalider la carte SIM et reporter le numéro sur une autre carte SIM, au moins aux US. En France, où la technique de SIM swapping existe aussi, ça doit se faire différemment parce que le seul cas que je connais de report de numéro sur une autre SIM, c’est le portage de numéro et il faut a priori un RIO pour le faire. Par contre, ils doivent simplement de faire envoyer une nouvelle carte SIM à une autre adresse en prétextant être en déplacement et en ayant passé les questions de sécurité de l’opérateur parce qu’ils connaissent des infos genre date de naissance.
#6.6
pour une authentification je dis pas, mais pour la validation d’un paiement l’autorité bancaire européenne dit bien que les SMS ne doivent plus être utilisés depuis le 31⁄12.
Après oui c’est pas parce que ça devient interdit que ce n’est plus utilisé, faudrait pas trop en demander aux banques non plus.
#6.7
En fait, c’est moins simple que cela :
Pour la méthode d’authentification, l’OSMP a établi un plan de migration du SMS pour au moins 90% des transactions authentifiées à juin 2022. Pour ce qui est des infrastructures d’authentification (3DSV2), l’OSMP a donné une date de fin de migration des acteurs à mars 2021 et l’EBA, l’organisme de régulation européen, à décembre 2020. Concrètement, décembre 2020 n’est donc pas la date butoir pour arrêter l’usage du SMS mais celle à laquelle les acteurs du e-commerce devront se connecter à une solution compatible avec l’authentification forte. Le SMS d’authentification classique devrait donc bénéficier d’un délai de 18 mois supplémentaires, jusqu’à juin 2022,
L’OSMP est une instance de la Banque de France, ça m’étonnerait qu’il aille à l’encontre de l’ABE.
Et j’ai l’impression que le problème du SMS pour authentification pour un paiement est que ce n’est pas de l’authentification forte parce qu’il est actuellement utilisé seul. ll suffirait de demander en plus un mot de passe pour qu’il y ait authentification forte.
#6.8
ok merci
#6.9
Et donc quelle est la procédure qui remplace les SMS ?
#6.11
je ne sais si un standard existe mais dans ma banque c’est soit appli smartphone avec validation empreinte soit un boitier fournit par la banque qui donne un code numérique sur demande après insertion CB et validation du code. Dans mon ancienne banque cette dernière fournissait un document (format carte) avec un tableau de chiffre et fallait entrer le bon code (genre code en A1).
#7
Nous sommes au moins 2 dans le même cas.
#8
Effectivement, c’était un commentaire à l’arrache.
Quatre fois le mot criminel dans son sens anglophone, cela me déçoit.
Ce n’est pas bien joli ce qu’ils ont fait, mais ils n’ont tué ou violé personne, selon cette nouvelle.
Les mots ont un sens, si l’on le change par facilité, on affaiblit la pensée.
NexInpact peut mieux faire..
C’est mieux comme ça ?
Au passage tu noteras que je ne suis pas journaliste et non rémunéré pour mes posts.
#9
Pour moi toute cette affaire n’est pas très clair.
Les services qui utilisent véritablement de l’authentification forte, c’est à dire utilisant au moins deux facteurs, détourner un numéro de téléphone n’est pas suffisant car il reste toujours le mot de passe qui est le 1er facteur.
Et si je prends l’exemple de la validation des paiements en ligne qui utilisent (1) une invite présentée par l’application mobile de sa banque et (2) l’acceptation de celle-ci par l’entrée d’un mot de passe ou code confidentiel à X digits, avoir récupérer le contrôle d’un numéro de téléphone ne permet pas pour autant de connaitre le code secret de la victime.
Donc y a un truc qui m’échappe
De plus je trouve que les recommandations d’Interpol sont vaseuses :
Je ne suis pas sûr qu’usurper le numéro de téléphone de quelqu’un permette de prendre le contrôle du compte mail de la victime. J’ai dû mal à voir le lien entre les deux ?
#10
Et si je prends l’exemple de la validation des paiements en ligne qui utilisent (1) une invite présentée par l’application mobile de sa banque et (2) l’acceptation de celle-ci par l’entrée d’un mot de passe ou code confidentiel à X digits, avoir récupérer le contrôle d’un numéro de téléphone ne permet pas pour autant de connaitre le code secret de la victime.
Le sim swaping n’est pas fait pour ce cas-là, mais dans les cas ou on l’on reçoit un code de validation par SMS. L’usurpateur demande à l’opérateur de la victime une nouvelle carte sim ou dit que la carte sim actuelle ne marche pas pour faire transférer le numéro sur une autre carte SIM, il faut un minimum d’informations sur sa victime. Ou des employés complices sont présent chez l’opérateur et transférè le numéro de la victime directement via les BDD de l’opérateur
#10.1
Mais l’opérateur ne peut-il pas vérifier en ligne si la carte SIM cible est défectueuse ou non ? Un peu comme votre FAI peut vérifier en temps réel si votre Box a des problèmes de connectivité en faisant à distance des diagnostics divers ? Là, l’opérateur semble avoir été un peu léger, surtout que les clients concernés sont en principe (en France c’est ainsi) gérés par des équipes dédiées, un peu comme les gros clients des banques (agences spécifiques, conseillés formés spécialement).
#11
Sûrement que le SMS sert de solution de secours en cas de perte du mot de passe… Transformant du coup une authentification double en simple et sans donnée réellement privée.
#12
Là où je peux, je désactive ou supprime mon numéro de téléphone et empêche l’option de reset. Quand j’avais un compte Google c’est ce que j’avais fais, suppression de l’adresse mail de secours, suppression du numéro de téléphone, pas de possibilité de reset et activation du 2FA avec une appli (andOTP dans mon cas).
L’avantage c’est que tu ne peux pas reset ou bypass le bordel vu qu’il n’y a plus de possibilité de demander un reset si tu perds l’auth’ ou le mot de passe. L’inconvénient c’est que si tu perds l’auth’, tu perds ton compte (pour ça que j’ai exporté des backups chiffrés de mes OTPs).
C’est un choix, dans mon cas si je merde je perds l’accès totalement et ce sera de ma propre faute, mais je suis au moins immunisé contre les techniques de reset.
Pour les cryptos, le mieux c’est Kraken je trouve vu qu’ils sont extrêmement violent avec ça :
Pour ma banque (crédit mut’) comme je refuse leur appli en mousse, j’ai acheté un boîtier OTP (un paiement unique d’environs 30 €) qui utilise un système d’OTP proprio pour me connecter et pour valider une transaction (le boitier étant protégé par un PIN en plus, donc scan OTP > PIN > retour de l’OTP).
Donc oui, je suis plutôt “safe” vu qu’à minimum j’essaye de virer le possibilité d’OTP par SMS et a maxima je vire totalement la possibilité de récup mon compte en cas d’un facteur manquant (mot de passe ou mon appli OTP). Le problème c’est que ce n’est pas possible partout
Le SMS ne devrait pas être considéré comme un second facteur comme le mail.
#13
c’est lourd les “grammar nazi” vous trouver pas ?
#14
Non, je ne trouve pas.
#15
On n’a pas les détails, on ne peut donc que supposer que soit le mot de passe était facile à trouver, soit le SMS permet de changer le mot de passe en utilisant la procédure de mot de passe perdu. Le stockage sur le téléphone n’a rien à voir ici, c’est le numéro de téléphone qui a été détourné, pas le téléphone.
Sinon tu sais que tu peux citer plusieurs personnes dans un seul post, plutôt que d’en faire 7 ?
#16
Surtout, il pourrait lire tous les messages avant de poser ses questions : il aurait eu un certain nombre de réponses et aurait vu aussi que d’autres ont déjà contredit ce que disaient certains.
Quand on arrive après pas mal d’échanges sur un sujet, il faut faire ça afin d’éviter d’écrire des trucs inutiles…
#17
Pardon de “troller”, peut-être que je me trompe aussi. Mais on apprend des trucs au moins, et ça, c’est cool !
#18
En effet, merci pour la correction.
#19
^^
N’empêche qu’en lisant la phrase à problème rapidement, le “si l’on (…)”, ne paraît pas si faux. Surtout via le second exemple, du coup la troisième façon, dans mon message du dessus.
Il n’y aurait pas un pro’ de la langue française à l’écrit, qui pourrait nous guider dans le coin ?
“Les mots ont un sens, si l’on en change par facilité, on affaiblit la pensée.”
Je crois que j’ai trop essayé de réfléchir en fait … Ou Pas. Je doute …. Ahhhhhh !
#20
Les deux se disent, avec une préférence pour “si on” quand on est suivi d’un mot commençant par l. Dans les 2 cas, c’est juste pour l’oreille.
#20.1
Merci pour l’information et la précision.