publicité

Piratage : 1 million de dollars en échangeant une carte SIM


Technologie : Un jeune homme prenait pour cible des hommes d'affaires, et s'emparait de leurs économies via un stratagème particulièrement simple : il détournait leurs smartphones. Voici comment.

Un jeune homme de 21 ans est accusé d'avoir échangé le numéro de téléphone mobile d'un cadre de la Silicon Valley pour lui voler environ un million de dollars en cryptomonnaie.

 

L'échange de carte SIM est une attaque dans laquelle des criminels appellent les services support des opérateurs et leur demandent de porter un numéro de téléphone mobile sur un nouvel appareil. Bien que cela fonctionne de manière souvent très temporaire - car les victimes remarquent rapidement que leur téléphone ne reçoit plus d'appel - cette courte fenêtre peut donner aux attaquants la possibilité de contourner les contrôles de sécurité de l'authentification à deux facteurs (2FA) et d'accéder à des données de grande valeur.

Selon la justice américaine, Nicholas Truglia a ciblé Robert Ross, résident de San Francisco, le 26 octobre, en réussissant un échange de carte SIM et en lui volant un million de dollars sur les comptes Coinbase et Gemini.

La crypto-monnaie stockée dans ces comptes était en fait l'épargne de Robert Ross, et était destinée à financer les frais d'université de ses deux filles.

Bien que Matt Ross ait rapidement remarqué que quelque chose n'allait pas avec son smartphone et qu'il ait appelé son opérateur, le temps que son service soit rétabli et que son numéro soit retrouvé, sa cryptomonnaie avait été volée et convertie en bon argent comptant.

D'autres dirigeants auraient également été pris pour cible, mais ces attaques n'ont pas entrainé d'autres vols de crypto-monnaies, malgré le fait que leurs téléphones ait été compromis. Au total, les forces de l'ordre disent que le jeune homme de 21 ans a fait six victimes.

Après l'arrestation de Nicholas Truglia le 14 novembre, les forces de l'ordre ont pu récupérer 300.000 $. Le reste n'a pas été retrouvé pour l'heure. Nicholas Truglia est actuellement détenu dans l'attente de son extradition vers Santa Clara, en Californie, afin de faire face à un total de 21 chefs d'accusation pour vol, dommages à un ordinateur personnel, fraude et utilisation de données personnelles sans autorisation.

L'échange de carte SIM est en passe de devenir un problème sérieux, d'autant plus qu'un grand nombre de nos comptes en ligne - dont certains contiennent des actifs financiers - sont liés à nos appareils mobiles. Par conséquent, les opérateurs télécoms devraient prendre des mesures pour éviter ce phénomène.

Au début du mois de novembre aux Etats-Unis, une action en justice a été intentée contre AT&T par des clients qui ont perdu leur crypto-monnaie en raison d'attaques réussies via des échanges de carte SIM.

A lire aussi :

Le ministère des Affaires étrangères alerte suite à un piratage de sa base email

Le ministère français des Affaires étrangères a envoyé plusieurs emails aux personnes inscrites sur ses mailing-lists pour...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

3 réponses
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
    
  • En France, on ne peut pas porter un ancien numéro de téléphone sur une ancienne carte SIM qu'on possède déjà. Le changement entraîne forcément l'envoi d'une nouvelle carte SIM à l'adresse du destinataire officiel (qu'on ne peut pas changer), il faut donc que le malfaiteur puisse intercepter le courrier contenant la carte SIM, l'activer (c'est à dire être en possession des identifiants complets de la victime sur son compte mobile).

    Bref, quasiment impossible à moins que ce soit un proche ou membre de la famille... Par contre, dans certains pays, des opérateurs mobiles se sont fait hackés par des salariés indélicats qui ont pu intercepter les SMS de validation mais ils avaient accès aux équipements télécoms en interne !
      
    • Heureusement que les génies qui conçoivent les futurs smartphones pensent à cet anachronisme nommé "SIM" qui visiblement permet de protéger de cette arnaque en prévoyant sa suppression pure et simple (voir : http://monontrail.org/actualites/comment-bien-utiliser-la-fonction-dual-sim-de-l-iphone-39876049.htm#comments), l'arnaque sera encore plus simple :)
    • 
    • Le SMS est considéré obsolète comme A2F par l'ANSSI. Plusieurs raisons :
      - vol de SIM, vol de téléphone non sécurisés
      - Changement de SIM (comme ici)
      - le SMS a un stockage intermédiaire chez l'opérateur, qui pourrait être compromis
      - le protocole SMS est compromis depuis 2008, avec des exploits actifs connus depuis 2014, ce qui permet à votre voisin d'intercepter vos SMS tant qu'il est sur la même antenne

      Conséquences :
      Les banques devront s'en passer en septembre 2019
      Les nouveaux services qualifiés (eidas) devront s'en passer (délivrance de certificats rgs*, recommandé électronique, signature en ligne sans certificat, ...)

      Ceci complexifie énormément le développement de solutions qualifiés...
      - la poste va proposer une identité numérique "v2" avec clé FIDO, ou authenticator sur smartphone, tout deux provisionnés par un postier assermenté.
      - les certificats rgs**/*** pour personne physique (sans société) coutent très chers... et introuvable. J'en ai cherché hier et je n'ai tout simplement trouvé aucune autorité de certification qui proposer un formulaire pour les particuliers... que pour les entreprises...
publicité