Non classé

Comment se protéger du SIM SWAP : le piratage à l’échange de carte SIM

0

Voici un guide pour vous prévenir et vous protéger contre la menace des pirates de prendre le contrôle de votre numéro de téléphone pour pirater vos comptes en ligne.

Les pirates informatiques ont ciblé les utilisateurs d’Instagram avec des noms d’utilisateur courts ou uniques, ainsi que les détenteurs de Bitcoin. Pour voler les comptes ou les crypto-monnaies de la victime, les pirates informatiques saisissent d’abord les numéros de téléphone cellulaire des cibles, ce qui leur donne la possibilité de réinitialiser les mots de passe de n’importe quel compte associé à un numéro donné.

Ce type de piratage est ce qu’on appelle une arnaque de portage – une expression dérivée du concept de portage d’un numéro d’un transporteur à un autre – et est également appelée échange de carte SIM ou piratage. Un pirate informatique qui avait l’habitude d’échanger la carte SIM m’a dit que cela se produisait «tout le temps», alors que les fournisseurs de services de télécommunications connaissaient cette méthode d’attaque depuis des années. Selon T-Mobile, des centaines de personnes ont été touchées par cette arnaque . Au cours des derniers mois, Motherboard a parlé à plus de 30 victimes qui se sont fait voler leur numéro. En plus de son compte Instagram, une victime du détournement de la carte SIM à laquelle j’ai parlé s’est vue piratée ses comptes Amazon, Ebay, Paypal, Netflix et Hulu.

« Nos téléphones sont notre plus grande vulnérabilité », m’a-t-elle dit.

Alors que peux-tu faire pour te protéger?

En fin de compte, ce piratage repose sur des escrocs trompant le support technique du transporteur, et si les représentants de la société mordent à l’hameçon, il est important de se rappeler que vous ne pouvez faire que beaucoup. La bonne nouvelle est que vous pouvez rendre le vol de votre numéro de téléphone beaucoup plus difficile pour les pirates. Et, ce qui est encore plus important, vous pouvez prendre des mesures pour limiter les dégâts au cas où ils pourraient le voler de toute façon.

Voici comment.

DURCIR LA SÉCURITÉ DE VOTRE COMPTE

Face à la multiplication des attaques contre les comptes de clients, les principaux fournisseurs de téléphonie mobile aux États-Unis ont introduit de nouvelles fonctionnalités de sécurité destinées à rendre plus difficile la prise de contrôle des comptes et des numéros de téléphone par les pirates.

AT&T permet aux clients d’ajouter un code d’authentification à leurs comptes. Cette information d’identification est distincte du mot de passe que les clients utilisent pour se connecter à leurs comptes en ligne. Ce code d’authentification sera nécessaire pour apporter des modifications importantes au compte, telles que le transfert du numéro sur une autre carte SIM. 

Verizon indique que chaque client doit désormais disposer d’un code PIN ou d’un mot de passe comme méthode « d’authentification principale » lorsqu’il contacte un centre d’appels. Ce code PIN est similaire au code d’authentification que les clients AT&T peuvent configurer, car il est utilisé lors de la communication avec le support technique de Verizon et fournit une couche de sécurité supplémentaire.

L’année dernière, T-Mobile a commencé à offrir une « fonctionnalité de validation de port » pour se protéger contre ces attaques. Il s’agit essentiellement d’un code d’authentification, distinct du mot de passe habituel pour accéder au compte en ligne, qui est requis chaque fois que quelqu’un tente d’apporter des modifications au compte, par exemple pour obtenir une nouvelle carte SIM. Demandez à un représentant T-Mobile d’ajouter ce code à votre compte. Cela peut vous protéger d’un pirate informatique qui peut prétendre être votre interlocuteur, ou d’un escroc qui tente d’utiliser une fausse identité dans un magasin T-Mobile, car il devrait toujours être tenu de fournir le code.

Sprint propose également aux clients un code PIN distinct à fournir lors de l’échange de carte SIM, en plus de la possibilité de répondre à une question de sécurité.

Nous vous conseillons d’appeler directement votre fournisseur et de lui dire que vous craignez que des criminels s’emparent de votre numéro de téléphone et de lui demander toutes les mesures de sécurité supplémentaires que vous pouvez prendre pour protéger votre compte.

NE LIEZ PAS VOTRE NUMÉRO À VOS COMPTES EN LIGNE

Une fois que les pirates informatiques volent votre numéro de téléphone, ils l’utilisent pour réinitialiser le mot de passe de tout compte en ligne associé au numéro. Dans de nombreux cas, cela contourne l’authentification à deux facteurs. C’est pourquoi avoir le contrôle d’un numéro de téléphone est si puissant.

Si possible, supprimez votre numéro de téléphone de tout compte susceptible d’intéresser les pirates. Vous pouvez toujours associer un type de numéro de téléphone à ces comptes, mais nous vous suggérons d’utiliser un numéro VoIP, tel qu’un numéro Google Voice, qui est à l’abri du piratage de la carte SIM. Bien entendu, vous devez également protéger ce numéro, en utilisant un mot de passe unique, une authentification à deux facteurs sur le compte et en veillant à ce qu’il n’expire pas si vous ne l’utilisez pas régulièrement.

Pour supprimer votre téléphone de votre compte Gmail, accédez à myaccount.google.com, connectez-vous (si nécessaire), puis cliquez sur Informations personnelles et confidentialité et Informations personnelles. Si vous avez votre numéro, supprimez-le. Assurez-vous également que vous n’avez pas de numéro de téléphone répertorié sous Options de récupération du compte. Au lieu de cela, ajoutez une application d’authentification telle que Google Authenticator à deux facteurs.

Si vous souhaitez vraiment avoir un numéro, nous vous suggérons de créer un nouveau numéro Google Voice – à partir d’un compte Gmail différent, idéalement ad hoc – et d’utiliser ce numéro. Notez que Google Voice n’est disponible qu’aux États-Unis, donc n’importe où ailleurs et vous devrez essayer un autre service VoIP. (Astuce: créez et enregistrez toujours des codes de récupération lorsque vous activez le mode à deux facteurs .)

Pour supprimer votre téléphone de votre compte Microsoft, accédez à account.live.com, accédez à Sécurité, puis cliquez sur Mettre à jour les informations sous Mettre à jour vos informations de sécurité. Si vous avez un numéro de téléphone, supprimez-le, sauf s’il s’agit d’un numéro Google Voice ou d’un autre numéro VoIP.

Si vous utilisez un appareil Apple, accédez à appleid.apple.com, connectez-vous, puis cliquez sur Modifier en regard de la section Sécurité. Ajoutez votre numéro Google Voice ou VoIP en tant que numéro de téléphone de confiance, puis supprimez votre numéro de téléphone habituel, le cas échéant. Pour iMessage et FaceTime, vous devez toujours fournir votre numéro de téléphone portable réel, mais vous pouvez en utiliser un autre en tant que numéro de téléphone de confiance.

Sur Twitter, cliquez sur votre avatar, accédez à Paramètres et confidentialité, puis accédez à Mobile dans le menu de droite. Si vous avez activé le double facteur, vous devrez fournir un nombre. Pour cette raison, nous vous suggérons de fournir un numéro VoIP ou Google Voice afin que les pirates informatiques ne puissent pas l’échanger. Il est également possible d’ utiliser simplement une application d’authentification ou une clé de sécurité et de supprimer complètement votre numéro de téléphone de Twitter.

La situation est similaire pour Instagram: depuis l’application mobile, cliquez sur votre avatar, puis sur Modifier le profil et remplacez votre numéro par un numéro VoIP ou Google Voice. Contrairement à Twitter, il n’est pas possible de supprimer complètement votre numéro de téléphone d’Instagram sans désactiver le double facteur.

Pour Facebook, sélectionnez Paramètres sous la flèche déroulante en haut à droite. Tout d’abord, cliquez sur Mobile dans le menu de droite et supprimez votre numéro de téléphone. Ajoutez maintenant votre numéro Google Voice ou un autre numéro VoIP. Ensuite, accédez à Sécurité et connexion (également dans le menu de droite), cliquez sur Modifier dans l’option Utiliser l’authentification à deux facteurs et assurez-vous que votre nouveau numéro VoIP ou Google Voice est présent.

Enfin, pour Amazon, cliquez sur Comptes et listes, puis sur Votre compte. Cliquez ensuite sur Login & Security, entrez votre mot de passe et vérifiez si votre numéro y est indiqué. Si vous le faites, vous connaissez l’exercice: remplacez-le par votre numéro VoIP ou Google Voice.

Nous vous suggérons de faire la même chose pour Paypal, eBay, Netflix et autres comptes similaires, ainsi que pour votre banque de choix.

Arthur Benchetrit
Blogueur passionné par les nouvelles technologies.

Les pirates de la carte SIM

Article précédent

Google étend son programme de primes pour les bugs sur les applications comptant 100 millions d’installations ou plus

Article suivant

Vous pourriez aussi aimer

Commentaires

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Plus dans Non classé