SimSwap attack : voici comment vous protéger

Qu’est-ce qu’une attaque SimSwap ?

Une série de comptes Instagram hackés. Un procès à 200 millions de dollars contre AT&T. Un réseau criminel clandestin très actif. Ils ont tous en commun un vieux problème qui a récemment ressurgi : le SimSwap. Cette arnaque consiste pour les hackers à voler votre identité mobile. Et à l’utiliser pour chambouler votre vie.
Au départ, le SimSwap arrive lorsque que quelqu’un arrive à convaincre votre opérateur de changer votre numéro de téléphone sur sa propre carte SIM. Et en détournant vos messages entrants, les hackers peuvent facilement remplir l’authentification à double facteur qui protègent vos comptes. Ou, ils peuvent utiliser votre numéro de téléphone pour forcer différents services à utiliser vos mots de passe.

Des attaques dévastatrices

Les attaques SimSwap semblent être à l’origine d’une récente série de prise de contrôle sur Instagram. Ainsi que lorsqu’un hacker avait posté des nudes de Justin Bieber depuis le compte de Selena Gomez l’année dernière. Mais cela peut impacter d’autres aspects de votre vie.
En effet, un investisseur en crypto-monnaie a récemment affirmé qu’un SimSwap avait provoqué le vol de plus de 23,8 millions de dollars de tokens. Ainsi, il poursuit AT&T, son opérateur, en justice. De plus, Motherboard a récemment publié un article montrant que des hackers avaient réussi à voler des milliers de dollars par ce moyen.
Hélas, il faut se rendre à l’évidence : si un hacker expérimenté vous vise, il n’y a rien que vous puissiez faire.
C’est parce que les machinations derrière le SimSwap sont largement hors de votre contrôle. Une parfaite hygiène de cybersécurité ne vous sauvera pas toujours d’une arnaque auprès de votre opérateur. Et elle n’en aura peut-être même pas l’occasion. En effet, Flashpoint a trouvé des indices concluant que les hackers de SIM recrutaient des employés de boutiques de téléphonie. Afin d’avoir accès à des des comptes protégés.
Un correctif d’une attaque SimSwap nécessiterait de repenser entièrement le rôle des numéros de téléphone 2018. Même s’ils n’ont pas été créés dans le but de révéler l’identité de quelqu’un. De plus, les entreprises de téléphonie n’ont jamais eu l’intention de vendre les informations confidentielles de ses abonnés. Cela leur a été imposé.
La bonne nouvelle, c’est que vous pouvez prendre des mesures pour éviter de vous faire attaquer. Et de limiter la casse si ça vous arrive.

Utilisez un code PIN

La plupart des opérateurs vous offre la possibilité de configurer un code PIN ou un mot de passe pour votre compte. Faites-le. Parce que c’est ajouter une couche de cybersécurité supplémentaire. En effet, c’est une autre information dont aura besoin le hacker avant de compromettre votre identité. Même si ça ne vous aidera pas contre une attaque interne, ce sera toujours ça !

Un meilleur double-facteur

Récupérer vos codes d’authentification à double-facteur par SMS est mieux que rien. Mais si vous subissez une attaque SimSwap, ça ne servira à rien. Et qu’est-ce qui servirait ? Utiliser une application d’authentification !
Des applications comme Google Authenticator et Authy vous procurent cette couche de protection supplémentaire. Comme l’authentification à double facteur par SMS le ferait. Néanmoins, cette solution par SMS vous rattache à un appareil physique. Et non pas au numéro de téléphone. Ainsi, vous avez accès à un code à six chiffres qui se met à jour toutes les 30 secondes. Et reste en synchronisation constante avec n’importe quel service auquel il est connecté.
Vous souhaitez aller plus loins ? Choisissez une solution d’authentification physique, comme un Yubikey. Ces petits porte-clés tiennent sur votre trousseau. Et se branchent à votre ordinateur via un port USB. Ils servent à vérifier votre identité. Ainsi, si vous activez un gadget physique et que vous désactiviez les SMS, alors un hacker sera obligé de littéralement voler vos clés. Ce qui change complètement la donne !
Attention, tous les services n’acceptent pas le double-facteur. Par exemple Instagram (même si c’est apparemment prévu).

Mesures supplémentaires

Un hacker possède un numéro de téléphone associé avec vos comptes en ligne ? Alors il peut court-circuiter l’identification à double-facteur. Ce qui vous ramène au problème de l’utilisation d’un numéro de téléphone comme moyen d’identification. Même si vous désassocier de ces numéros n’est pas simple au début, ça vaut le coup d’essayer. Surtout pour des comptes sensibles. Ou si vous êtes considéré comme une cible intéressante.
Vous possédez une chose en particulier que vous savez attrayante pour un hacker ? Comme un compte bancaire ? Un portefeuille Bitcoins ? Alors gardez ces comptes séparés du reste de votre identité digitale. Si vous êtes un peu paranoïaque, vous pouvez même avoir un deuxième numéro de téléphone. Et le garder secret.
Pour les services qui ont vraiment besoin d’un numéro de téléphone, vous pouvez par exemple utiliser un Google Voice. Néanmoins, cette difficulté supplémentaire peut être difficile à vivre pour certaines personnes. Surtout qu’il existe de nombreuses applications qui relient votre numéro à votre appareil. Donc on en revient au coeur du problème.
En fait, les développeurs d’applications ont besoin d’un identifiant universel. Et ils ont simplement décidé que ce sera un numéro de téléphone qui vous identifiera. Ce qui n’est vraiment pas le top au niveau cybersécurité.
Enfin, même si ça parait un peu bête de dire ça, vous pouvez rester vigilant. Ainsi, si votre mobile s’arrête subitement de fonctionner, ou que vos messages ne se réceptionnent plus, vous savez que vous avez perdu votre SIM. Et plus vite vous réagissez, plus vite vous serez sorti d’affaire.

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email