Cartes bancaires, mail, réseaux sociaux : tous vos comptes sont à la merci d'un "détournement de SIM"

par Cédric INGRAND
Publié le 21 novembre 2018 à 16h59
Cartes bancaires, mail, réseaux sociaux : tous vos comptes sont à la merci d'un "détournement de SIM"

PROTECTION - Pour l'essentiel des services que vous utilisez au quotidien, votre numéro de mobile est le dernier rempart de la sécurité, celui qui permet de vérifier votre identité à coup sûr, ou presque. Problème : il est vulnérable au détournement de SIM, une escroquerie face à laquelle les opérateurs sont plutôt désarmés.

Pour valider un paiement sur internet, pour confirmer que c'est bien vous qui venez de vous connecter à Facebook sur un nouveau smartphone, pour recevoir un code de vérification si vous changez de mot de passe sur un service en ligne, votre numéro de mobile est souvent le dernier rempart de la sécurité des sites et des applications, le moyen de vous envoyer une information à vous, et à vous seulement, puisque c'est votre numéro qu'on utilise. Efficace, sans doute, mais pas si sûr que ça.

Le talon d’Achille du système, c'est que dans votre smartphone, votre identité réside non pas dans le téléphone lui-même, mais dans la carte SIM rattachée à votre abonnement. Si quelqu'un arrive à se faire passer pour vous, assez pour se procurer une nouvelle carte SIM liée à votre numéro, il pourra usurper votre identité auprès de tous les services qui utilisent votre mobile pour vous authentifier. Et aura soudain accès aux clés de toute votre vie numérique.

Le procédé n'est pas nouveau, il est couramment utilisé par des escrocs, récemment encore pour délester des comptes de crypto-monnaies ou prendre le contrôle d'autres comptes célèbres sur Instagram, Snapchat ou Twitter, et en revendre ensuite les identifiants. La méthode, elle, dépend du pays, de la cible, ou de l'opérateur. Beaucoup utilisent le phishing, ces mails frauduleux qui se font par exemple passer pour un message de votre opérateur mobile, et tentent de vous faire entrer les identifiants de votre compte. Ces derniers suffiront bien souvent à commander une nouvelle SIM, à retirer ensuite dans un magasin ou à une borne automatique. 

Quand la fraude cible une personne précise, les escrocs peuvent tenter de rassembler tout ce que le web recense d'informations sur la victime, assez pour répondre aux questions de sécurité des services en ligne. Et la SIM n'est qu'un des maillons de la chaîne. Si par exemple elle permet de prendre le contrôle sur votre compte Gmail ou Outlook, ce seul accès suffira souvent à prendre le contrôle de tous les autres, réseaux sociaux, banques, et le reste.

Les procédures de vérification ont été revues et durcies (...) Pour des raisons évidentes de sécurité, Orange n'entend pas dévoiler ses process de vérification
Orange, par un porte-parole

Le pire, c'est que pour la victime, l'escroquerie n'est pas toujours évidente. Tout au plus verrez-vous votre smartphone se plaindre de votre "SIM invalide". C'est plutôt au moment où tous vos autres services vous avertiront que vos mots de passe ont été changés que vous comprendrez qu'il se passe quelque chose. Si cela vous arrive, contactez immédiatement votre opérateur pour faire invalider la nouvelle SIM et reprendre le contrôle de vos identifiants, s'il en est encore temps. 

Sollicités, les quatre opérateurs français sont assez peu diserts sur la question. Ils connaissent bien un problème qui n'a pas de solution simple, et pour cause : quand un abonné appelle pour demander une SIM de remplacement, si l'ancienne ne fonctionne plus ou si son smartphone a été volé ou perdu, son numéro ne peut pas être utilisé pour authentifier l'appel. Chez Orange, on explique à LCI avoir "(...) renforcé les mesures visant à garantir le respect strict de l'authentification de ses clients (...)", sans s'appesantir sur le détail des mesures en place. Aux États-Unis, certains opérateurs permettent à leurs abonnés d'ajouter un code PIN supplémentaire, indispensable pour demander une nouvelle carte SIM en ligne ou par téléphone. Une piste pour opérateurs français ?

Paiements en ligne : la fin des SMS de validation ?Source : JT 20h Semaine

Si le détournement de SIM revient dans l'actualité, c'est aussi parce qu'une directive européenne sur le commerce, applicable dès 2019, sonnera la fin de 3D-Secure, l'authentification par SMS des achats que vous effectuez par carte bancaire. La directive leur préfère des moyens "d'authentification forte" : code PIN, mot de passe ou signature biométrique (vidéo ci-dessus)

De quoi remettre le problème en lumière, avec ici l'aide des banques. Et pour cause : lors d'achats frauduleux, ce sont elles qui sont tenues pour responsables des paiements authentifiés par une arnaque à la SIM.


Cédric INGRAND

Tout
TF1 Info