Pour vous protéger au mieux contre le SIM Swapet ses conséquences redoutables pour vos comptes en ligne, nous vous expliquons dans cet article comment réagir face à une telle attaque et surtout, comment l’éviter !
Sommaire
Qu’est-ce que que le SIM Swap ou échange de carte SIM ?
Définition
Le SIM Swap, c’est une technique frauduleuse utilisée par les pirates pour prendre le contrôle de votre numéro de téléphone.
Pour y parvenir, ils utilisent un stratagème (détaillé ci-dessous) dont la finalité est de transférer votre numéro de téléphone vers une carte SIM qui leur appartient.
Étape 1 – Obtenir un maximum d’informations personnelles sur vous
Pour les pirates, la première étape consiste à récolter un maximum d’informations sur vous (numéro de téléphone, nom et prénom, date de naissance, adresse, sites sur lesquels vous êtes inscrit, etc…). Pour y parvenir ils disposent de plusieurs moyens :
passage en revue de vos réseaux sociauxet des informations que vous publiez
utilisation des données qui ressortent lorsque l’on tape votre nom dans une recherche Google
achat sur le Dark Web de données personnelles volées
usurpation de l’identité d’un organisme (votre opérateur téléphonique, fournisseur d’accès internet, banque etc…) pour vous demander de confirmer vos informations personnelles sous un faux prétexte (problème technique, mesure de sécurité…)
Parfois, ils combinent même plusieurs de ces techniques pour atteindre leur but.
Étape 2 – Contacter votre opérateur mobile pour effectuer le transfert de numéro
Une fois qu’ils ont collecté assez d’informations à votre sujet, les cybercriminels contactent votre opérateur mobile. Ils se font alors passer pour vous et prétextent avoir perdu/s’être fait voler leur téléphone pour demander un transfert de numéro vers une autre carte SIM qui leur appartient
Et c’est là que tout se joue !
Car avant d’effectuer ce transfert, votre opérateur téléphonique doit réaliser une procédure de vérification pour s’assurer que vous êtes bien à l’origine de la demande. Généralement il pose des questions dont vous seul êtes censé connaître la réponse :
dernier chiffre du moyen de paiement
date de naissance
adresse mail liée à votre compte chez cet opérateur
question personnalisée du type « le nom de votre premier animal de compagnie »
etc…
Mais si les pirates ont assez de détails personnels sur vous, ils peuvent facilement tromper l’opérateur. Ce dernier n’a alors aucune raison de refuser leur demande et réaffecte donc votre numéro de téléphone sur la carte SIM des escrocs.
Les conséquences d’un SIM Swap
Si le transfert de numéro a eu lieu, cela signifie concrètement que les pirates peuvent :
consulter votre liste de contacts, si elle était enregistrée sur votre carte SIM
recevoir à votre place vos appels, ainsi que les codes de vérification envoyés via SMS par les sites sur lesquels vous avez paramétré l’authentification à deux facteurs
et par conséquentaccéder à tous vos comptes en ligne (messagerie, e-commerce, réseaux sociaux, banque, administratif, etc…), grâce à la réception de ces codes
Autant vous dire qu’à ce moment là, leur potentiel de nuisance est à son niveau maximum :
modification des mots de passe et adresses mail de vos comptes en ligne, grâce aux fonctions « mot de passe oublié » ou « récupération de compte » qui envoie un code par SMS sur votre numéro de téléphone, maintenant détenu par les pirates
réalisation de virements bancaires vers des comptes leur appartenant
Comment vous protéger du SIM Swap : réagir & se prémunir
Reconnaître les signes d’un SIM Swap
Il n’est pas toujours aisé de reconnaître une tentative de SIM Swap, car d’une part, c’est un processus qui se déroule rapidement. Et d’autre part, lorsque vous vous en apercevez vous êtes souvent pris de court et n’avez pas forcément la possibilité de contacter votre opérateur…
Cependant, si vous repérez plusieurs de ces signaux qui apparaissent dans une courte période de temps :
perte soudaine et totale de réseau mobile, vous ne pouvez plus naviguer sur internet, ni passer ou recevoir des appels ou des SMS
en vous connectant à un réseau wifi, vous recevez desemails :
confirmant l’ajout de nouveaux appareils sur votre lignemobile
vous signalant une activité suspecte ou un changement de mot de passe sur l’un de vos comptes en ligne (réseaux sociaux, e-commerce, etc…)
vous constatez des transactions que vous n’avez pas autorisées sur vos comptes bancaires
lorsque vous tentez de vous connecter à vos comptes en ligne, vos identifiants ne fonctionnent plus
Cela signifie que vous êtes très probablement en train de vous faire SIM swapper.
Réagir face à une telle attaque
A ce moment là vous devez être très réactifs pour limiter les dégâts :
trouvez rapidement un moyen de contacter votre opérateur téléphonique et demandez lui de bloquer immédiatement votre ligne mobile
contactez votre banque pour l’avertir de la situation et demandez le gel temporaire de vos comptes. Si malheureusement les pirates ont déjà réalisé des virements, voyez avec votre conseiller quelles options d’annulation/remboursement s’offrent à vous
si vous avez encore accès à vos comptes en ligne, modifiez immédiatement vos mots de passeet désactivez provisoirement l’authentification à double facteurs, afin que les pirates ne puissent plus réceptionner les codes de vérifications envoyés par SMS
alertez vos contacts et expliquez leur qu’ils ne doivent pas répondre à des messages ou appels provenant de votre numéro
Enfin, conservez un maximum de preuves (relevés bancaires, notifications, emails…) et portez plainte. En plus d’alerter les autorités sur ce phénomène, ces éléments vous seront sans doute nécessaire pour obtenir un dédommagement.
Se prémunir d’une attaque par SIM Swap
Se protéger contre le SIM Swap, n’est pas une mince affaire. Car même si les opérateurs disposent d’outils pour identifier les demandes de transfert de carte SIM suspectes, l’erreur reste humaine.
Alors prenez les devant et faîtes tout ce qui est en vôtre pouvoir pour compliquer la tâche des pirates :
ne laissez pas vos profils en mode « public » sur les réseaux sociaux et de manière générale, ne divulguez pas d’informations sensibles à votre sujet sur ces plateformes
séparez vos usages personnels et professionnels, en utilisant des appareils dédiés à chacun de ces usages. Par exemple, si votre ligne personnelle est SIM Swappée, vous limiterez les risques d’une fuite de données professionnelles.
apprenez à repérer les tentatives de phishing et leurs variantes (par SMS, appels…) pour ne pas donner vos informations personnelles à des cybercriminels
activez bien l’authentification à double facteur sur tous vos comptes, mais utilisez un autre moyen que l’envoi de code par SMS (appel, données biométriques, ou application telle que Google Authenticator)
mettez en place des alertes emails pour vous prévenir de toute activité suspecte concernant votre ligne mobile et vos comptes bancaires
En conclusion
Grâce aux bonnes pratiques que nous venons de vous détailler, vous êtes désormais parés pour vous protéger contre le SIM Swap. Mais n’oubliez pas que le paysage de la cybersécurité évolue constamment. Alors pour vous prémunir même contre les menaces émergentes, faites confiance à l’expertise d’Axis Solutions. Notre équipe met à votre disposition une gamme complète de services (supervision de vos réseaux et machines, protection robuste de vos systèmes d’information, sensibilisation de vos utilisateurs…) pour sécuriser vos systèmes et protéger vos données.
Contactez-nous dès maintenant pour bénéficier d’un audit de sécurité personnalisé !
Pour offrir les meilleures expériences, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations des appareils. Le fait de consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou les ID uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions. Pour en savoir plus, consultez notre politique de cookies.
Fonctionnel
Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
Le stockage ou l’accès technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’utilisateur.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’utilisateurs afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.