C’est une minuscule carte en plastique dans votre téléphone et une porte d’entrée potentielle pour les cybercriminels qui veulent s’emparer de votre appareil : Braquons les projecteurs sur les cartes SIM et sur l’effrayante escroquerie que constitue « l’échange de cartes SIM ». Une fois que les fraudeurs ont pris le contrôle de votre carte SIM, ils deviennent virtuellement propriétaires de votre téléphone. Ils peuvent recevoir des appels, des textos et même des codes de vérification de compte (heureusement, les données telles que les photos ou les applications ne sont pas concernées !). Ne vous contentez pas d’imaginer les dégâts que cela pourrait causer. S’agissant de votre sécurité en ligne, soyez prévoyant avec Avira Free Security. Cette solution vous permet de vous protéger contre des malwares, des tentatives de phishing, de la fraude en ligne, etc.
Qu’est-ce que la fraude à l’échange de carte SIM ?
Vous pensiez probablement avoir tout entendu en matière de tentatives de piratage. Vous ne cliquerez jamais sur une pièce jointe inconnue qui pourrait contenir un malware comme un ransomware ni ne tomberez dans le piège d’une tentative de phishing, même la plus astucieuse, qui semble provenir de votre banque. Pourtant, beaucoup d’entre nous n’ont jamais entendu parler d’une escroquerie diabolique qui place votre téléphone sous le contrôle d’un pirate informatique, même s’il ne quitte jamais vos mains : Faites attention aux attaques par échange de cartes SIM, un phénomène qui ressemble à une intrigue d’une bande dessinée Marvel mais qui est en fait une menace mobile bien réelle.
Mais d’abord, revenons au tout début : Pour comprendre l’échange de cartes SIM, vous devez savoir ce qu’est une carte SIM. Si vous criez « subscriber identity module » ou « module d’identité de l’abonné », vous avez raison et vous pouvez sauter ce paragraphe. Une carte SIM est une minuscule carte contenant une puce d’identification. Elle contient les données nécessaires pour vous permettre d’émettre et recevoir des appels et d’envoyer des SMS. Pas de carte SIM, pas d’appel. Sans elle, vous ne pourriez utiliser que les outils intégrés à votre téléphone, comme l’appareil photo, ainsi que les activités en lien avec le Wi-Fi, comme la navigation sur le web.
En cas d’escroquerie par échange de cartes SIM, l’escroc se fait passer pour la victime pour convaincre l’opérateur de téléphonie mobile de transférer le numéro de téléphone de la victime sur la carte SIM de l’escroc. Une fois que l’escroc contrôle le numéro de téléphone portable, il dispose de tous les pouvoirs qui en découlent, notamment en ayant accès à de nombreux aspects de la vie numérique de sa cible, tels que les comptes en ligne. Heureusement, les pirates ne peuvent pas s’emparer des données du téléphone, telles que les photos, car un échange de cartes SIM n’affecte que les services liés au réseau de l’appareil. Vous ne voyez peut-être pas d’inconvénient à ce que les appels, les messages et les messages vocaux de votre mère se retrouvent entre les mains de tiers, mais imaginez des conséquences plus graves, comme le fait qu’un escroc intercepte des codes d’authentification à deux facteurs (2FA) ou des messages contenant un mot de passe à usage unique. Que pourrait-il publier sur vos réseaux sociaux et quels ravages pourrait-il causer s’il accédait à des comptes en ligne, à des informations commerciales sensibles et à vos données financières ?
Pour se protéger contre l’échange de cartes SIM, toutes les mesures habituelles valent, mais nous les examinerons plus en détail ultérieurement : Utilisez des mots de passe forts et uniques pour tous vos comptes en ligne, activez des mesures de sécurité supplémentaires telles que l’authentification par application, et faites preuve de beaucoup de prudence lorsque vous partagez des informations personnelles avec des inconnus. Certains opérateurs de téléphonie mobile proposent des dispositifs de sécurité supplémentaires, tels que des codes PIN ou des phrases de passe, qui doivent être fournis avant que des modifications puissent être apportées à un compte. Et de toute évidence, votre phrase de passe n’est pas facilement devinable car elle n’est pas basée sur des informations personnelles que vous avez partagées (N’EST-CE PAS ?).
Même si vous êtes fier de votre appareil dernier cri, il est important de se rappeler qu’aucun téléphone n’est à l’abri d’un échange de cartes SIM. S’il possède une carte SIM, c’est une cible potentielle. Au-delà des « simples » échanges de cartes SIM, les smartphones sont très souvent exposés à de nombreux types de piratage, car ils constituent un trésor de données personnelles et d’accessibilité. Des exploits aux tentatives de phishing, les cybercriminels utilisent de nombreuses méthodes pour pirater les téléphones.
Examinons maintenant les mesures que prennent généralement les escrocs pour s’emparer de la minuscule et puissante carte à puce qui régit nos mondes mobiles.
Comment fonctionne l’échange de cartes SIM ? Comprendre la procédure des escrocs
Manche 1 : De la patience et des compétences en recherche. Les cybercriminels identifient les victimes potentielles en obtenant des informations personnelles sensibles. Ces informations peuvent être obtenues par l’intermédiaire de courtiers en données, de violations de ces dernières ou simplement en parcourant les places de marché du Dark Web, où les informations personnellement identifiables sont aussi faciles d’accès que les bananes en supermarché. Certains pirates informatiques font également appel aux spywares (logiciels espions) (pour vous surveiller en ligne et collecter vos données), ainsi qu’aux e-mails de phishing qui peuvent prétendre provenir de votre fournisseur de smartphone et vous demander de fournir des informations personnelles telles que votre nom et votre date de naissance. Une autre technique populaire de collecte de données est le « smishing ». Cette forme de phishing par SMS utilise des textos envoyés par des pirates qui prétendent représenter des entreprises légitimes. Bloquez-les et supprimez-les ! La recherche sur les réseaux sociaux est également un outil utile, et en publiant des informations personnelles dans nos profils sur les réseaux sociaux, nous donnons un coup de main aux cybercriminels. Le nom de jeune fille de votre mère ou votre première voiture est-elle la réponse à une question de sécurité, par exemple ?
Manche 2 : Usurpation. Armé des données personnelles, l’escroc peut maintenant contacter l’opérateur de téléphonie mobile de la victime et se faire passer pour le propriétaire légitime de la carte SIM. Il utilisera les informations personnelles qu’il a volées précédemment pour tenter de contourner les contrôles de sécurité. « Bonjour, c’est John Smith à l’appareil, et j’ai perdu mon téléphone/il a été endommagé/on me l’a volé » sont des phrases d’introduction courantes utilisées pour l’usurpation d’identité. La personne demande ensuite au représentant du service client d’activer une nouvelle carte SIM alors que celle-ci est en possession de l’escroc. Cela permet de transférer (« porter ») le numéro de téléphone de la malheureuse victime vers la carte SIM de l’appareil du cybercriminel. Une fois cette demande effectuée, les appels téléphoniques et les SMS destinés au propriétaire légitime de ce téléphone parviendront au fraudeur. Son travail est terminé. Vos problèmes ne font que commencer.
Saviez-vous que les escroqueries à l’échange de cartes SIM avaient donné lieu à des piratages très médiatisés ? En 2019, le compte Twitter de l’ancien PDG de Twitter, Jack Dorsey, a été pris d’assaut de cette manière et les auteurs ont publié des remarques racistes et sexistes. En 2020, un procès a été intenté contre un lycéen new-yorkais de 18 ans, accusé d’avoir escroqué en 2018 près de 24 millions de dollars à Michael Terpin, un investisseur dans les monnaies numériques. Le pirate n’avait que 15 ans au moment des faits et a utilisé des données volées à des smartphones par échange de cartes SIM !
L’échange de cartesSIM est-il toujours illégal ?
Il est important de rappeler que l’échange de cartes SIM est une pratique légitime mais seulement s’il se fait entre parties consentantes. Il se peut que le titulaire d’un compte veuille échanger sa carte SIM pour permettre à quelqu’un d’autre d’accéder aux informations de son smartphone, par exemple, mais en général, il cherchera à changer de carte SIM parce qu’il passe sur un appareil de meilleur niveau ou qu’il voyage dans un autre pays. C’est lorsqu’un tiers accède au téléphone d’une personne peu méfiante à son insu à des fins criminelles qu’il s’agit d’une escroquerie ou d’une fraude à l’échange de cartes SIM, également connue sous le nom « d’escroquerie à la portabilié », de « simjacking » (détournement de carte SIM) et de « SIM splitting ».
Reconnaître les signes de la fraude à l’échange de cartes SIM
Il y a un côté positif, car les échanges de cartes SIM sont généralement faciles à identifier. Soyez attentifs aux signes d’alerte suivants et agissez rapidement :
- Vous ne pouvez pas passer d’appels ni envoyer de textos : cela peut signifier que des escrocs ont désactivé votre carte SIM et utilisent maintenant votre numéro de téléphone. Votre fournisseur de services peut confirmer si un échange s’est produit ou s’il s’agit simplement d’un problème temporaire.
- Vous recevez des notifications d’activités inconnues : Au début d’un échange de cartes SIM, il se peut que vous receviez des textos ou des appels au sujet d’une modification de votre service. Contactez immédiatement votre fournisseur de services pour savoir quelles mesures ont été prises.
- Vous perdez l’accès à vos comptes en ligne : Vous ne pouvez soudainement plus vous connecter à vos comptes bancaires, à vos profils de réseaux sociaux ou à vos e-mails ? Il est possible que quelqu’un en ait pris le contrôle et que les données de connexion aient été modifiées. Voici l’essentiel à faire si votre compte de messagerie a été piraté. Découvrez comment procéder pour récupérer l’accès à votre compte WhatsApp piraté.
- Vos comptes de réseaux sociaux affichent de nouveaux messages étranges ou d’autres changements : Si vous savez que vous n’avez pas mis à jour votre profil de réseau social et que votre compte affiche des photos, des commentaires ou des messages dont vous n’êtes pas responsable, il se peut qu’un escroc ait piraté votre carte SIM. Si possible, connectez-vous pour modifier votre mot de passe. Procédez rapidement aux étapes suivantes si l’un de vos comptes de réseaux sociaux a été piraté.
- Des transactions inattendues apparaissent : Des transactions suspectes sur les relevés de compte bancaire ou de carte de crédit ? Des commandes sur Amazon que vous n’avez pas passées ? Cela peut être le signe d’un échange de cartes SIM. Contactez immédiatement les fournisseurs de services et consultez ce guide si votre compte Amazon a été piraté.
Marche à suivre pour traiter une fraude à l’échange de cartes SIM
Si vous pensez qu’il y a un problème, agissez vite ! Plus vous attendez, plus l’impact de l’agresseur risque d’être important, ce n’est donc pas le moment de prendre une tasse de thé pour se calmer. Contactez immédiatement votre fournisseur de téléphonie mobile pour enquêter sur l’incident, reprendre le contrôle et découvrir comment l’échange s’est produit. Appelez également les organismes financiers pour passer en revue d’éventuelles transactions inattendues et de potentiels problèmes d’accès. Et quel que soit votre interlocuteur, il est bon de prendre cette habitude : Demandez un numéro de référence pour votre appel et tenez un registre afin d’enregistrer toutes les actions promises en cas de litiges futurs. N’hésitez pas à vérifier deux fois, car des erreurs peuvent se produire ! Vérifiez que l’incident que vous avez signalé a été correctement enregistré. Vous pouvez même rappeler et vérifier.
En parlant de tirer la sonnette d’alarme, comment ferez-vous pour passer des appels importants si votre appareil est hors d’usage ? Soyez prévoyant et ayez un téléphone de secours que vous pourrez utiliser si vous perdez le signal à cause d’une escroquerie à l’échange de cartes SIM.
Si vous résidez en Angleterre, au Pays de Galles ou en Irlande du Nord, vous devez signaler tout cas de cybercriminalité à Action Fraud. En Écosse, contactez Police Scotland en appelant le 101 et consultez Cyber Scotland pour obtenir des ressources utiles et des informations sur les cyberservices.
L’avenir de la carte SIM est-il dans la SIM électronique et celle-ci peut-elle contribuer à prévenir les échanges de cartes SIM ?
Les jours de la carte SIM physique sont-ils comptés ? Les fabricants de téléphones (Apple en tête) s’orientent rapidement vers les cartes SIM intégrées ou « eSIM ». Préinstallées, celles-ci ne peuvent pas être insérées ou retirées. Elles facilitent la configuration d’un nouveau téléphone et il est également plus facile de changer de réseau car vous n’avez pas besoin de changer physiquement la carte. Vous n’aurez plus jamais à chercher ce fichu « éjecteur » de carte SIM ! Il y a aussi des inconvénients. Si votre appareil ne fonctionne plus, vous ne pouvez pas retirer rapidement la carte SIM et l’utiliser dans un autre téléphone. Si vous voyagez souvent à l’étranger, il se peut que vous changiez régulièrement de carte SIM, chose qui est plus difficile avec une carte eSIM. Qu’on les aime ou qu’on les déteste, les smartphones et les accessoires à porter les plus récents sont équipés d’eSIM, notamment l’iPhone (iPhone XR et versions ultérieures), le Samsung Galaxy et le Google Pixel.
Mais l’adoption des cartes SIM intégrées contribue-t-elle à prévenir les fraudes à l’échange de cartes SIM ? Les escrocs prétendent souvent avoir perdu ou endommagé leur carte SIM afin de faire porter le numéro sur une autre carte. Si un téléphone n’a pas de carte SIM amovible, cette excuse n’est plus plausible. Malheureusement, les eSIM ne peuvent pas éliminer entièrement les escroqueries à l’échange de cartes SIM, car le numéro de téléphone associé à une eSIM peut toujours être transféré vers un autre appareil compatible avec une eSIM. Si un escroc est en mesure d’exploiter les vulnérabilités des processus d’authentification d’un réseau mobile, il peut toujours lancer avec succès une attaque par échange de cartes SIM, quel que soit le type de carte SIM utilisée.
Les cinq étapes de la prévention des escroqueries basées sur l’échange de cartes SIM
Ne vous dites pas que votre téléphone est un danger pour la sécurité et que vous devriez le jeter ! Personne ne veut sortir sans téléphone. Prenez plutôt les mesures suivantes pour minimiser les attaques par échange de cartes SIM.
- Suivez les règles de base de la sécurité en ligne : Soyez vigilant et réfléchissez (au moins) à deux fois avant de cliquer sur un lien, d’ouvrir une pièce jointe ou de télécharger un fichier. Méfiez-vous vraiment des e-mails qui demandent des données personnelles sensibles et vérifiez toujours deux fois l’expéditeur. Les fournisseurs de services ne demanderont pas aux titulaires de comptes de fournir ces informations par e-mail. Il s’agit donc très probablement d’e-mails de phishing qu’il vous faut bloquer et supprimer.
- Demandez à être rappelé : certaines banques ou fournisseurs de services mobiles proposent ce service. S’ils doivent apporter des modifications à votre compte, demandez-leur d’appeler le numéro enregistré sur le compte pour poursuivre la démarche. Cela peut permettre de mettre fin à une fraude par échange de cartes SIM en cours !
- N’utilisez pas de numéro de téléphone pour authentifier vos comptes : choisissez toujours l’authentification à deux facteurs si elle est disponible, mais optez pour une application sécurisée au lieu d’un numéro de téléphone. Cela permet de lier le processus d’authentification à votre appareil physique et pas seulement à son numéro de téléphone. À moins qu’un escroc n’ait volé votre téléphone, il ne pourra pas intercepter vos messages d’authentification et, en cas d’échange de carte SIM, il aura accès à moins de comptes.
- Choisissez plusieurs niveaux de sécurité pour les comptes de téléphone : La plupart des opérateurs téléphoniques permettent aux titulaires de comptes de définir des mots de passe, des codes PIN et des questions de sécurité afin de renforcer la sécurité. Veillez à ce que ces mesures soient en place afin qu’il soit beaucoup plus difficile d’accéder au système et d’y apporter des modifications. Ne réutilisez jamais un mot de passe sur plusieurs comptes et veillez à ce qu’il soit un mélange complexe et aléatoire de lettres majuscules et minuscules, de chiffres et de symboles. L’outil gratuit Avira Password Manager aide à créer, stocker et gérer des mots de passe complexes pour tous vos comptes en ligne.
- Exploitez au maximum la biométrie : les innovations techniques nous permettent de scanner nos visages, nos empreintes digitales et parfois même notre iris pour vérifier notre identité. Mettez ces systèmes en place partout où c’est possible pour protéger l’accès à votre téléphone, lorsque vous téléchargez des logiciels, etc.
- Publiez un minimum d’informations personnelles sur vos comptes de réseaux sociaux : qu’il s’agisse du nom de jeune fille de votre mère, de votre premier animal de compagnie ou de votre date de naissance, évitez de divulguer toute information qui pourrait aider un cybercriminel à accéder à vos comptes en ligne.
Cliquez ici pour avoir un rapide tour d’horizon sur la marche à suivre pour protéger votre smartphone des malwares et des cybercriminels.
Protégez-vous des escroqueries en ligne, des malwares et autres menaces
Souvenez-vous que, quel que soit votre appareil, les cybercriminels trouvent toujours de nouvelles vulnérabilités à exploiter. Il existe de nombreux types différents de pirates informatiques, et ceux avec des intentions illégales et malveillantes sont appelés pirates « black hat ». Pour tenir à distance les attaques en ligne les plus sophistiquées, il est essentiel de disposer d’une sécurité en ligne digne de confiance. Avira Free Security pour Windows et Free Security pour Mac combinent plusieurs outils, dont un antivirus, un VPN, un gestionnaire de mots de passe et bien d’autres encore, en une seule solution pratique pour plus de confidentialité, de performance et de protection. Pour les appareils mobiles, on trouve Avira Free Security pour Android et Avira Mobile Security pour iOS. Tous deux utilisent plusieurs couches pour vous protéger des dangers du web.
