Piratage eSIM : comment les escrocs volent des numéros de téléphone
Le SIM swapping est devenu bien plus simple avec l'avènement des cartes virtuelles eSIM. Les pirates se servent de cette technique pour récupérer votre numéro de téléphone et accéder à vos comptes, y compris bancaires.
Si la carte SIM reste encore la norme, les opérateurs français proposent depuis quelques années à leurs clients de lui préférer l'eSIM – à condition d'avoir un smartphone compatible avec cette technologie. Il s'agit d'une version miniaturisée de la carte SIM traditionnelle directement soudée à la carte mère qui permet aux constructeurs de se passer du tiroir à carte SIM – et donc de gagner de la place pour les composants. Elle permet également aux opérateurs de modifier plus facilement et à distance les informations écrites dessus, ce qui n'est pas sans risques. Les cybercriminels n'ont pas mis longtemps avant d'y voir une formidable opportunité de piratage et ont mis en place un nouveau type d'arnaques dites de SIM swapping – "échange de SIM" en français. La firme de cybersécurité russe FACCT a repéré une forte augmentation de ce types d'attaques en ce moment. "Depuis l'automne 2023, les analystes de la Protection contre la fraude de la FACCT ont enregistré plus d'une centaine de tentatives d'accès aux comptes personnels des clients des services en ligne d'un seul organisme financier", explique-t-elle. Dans la majorité des cas, le but est de vider le compte bancaire de la victime.
SIM swapping : un piratage bien plus simple avec les eSIM
Auparavant, les auteurs d'échanges de cartes SIM recouraient à l'ingénierie sociale, par le biais de tentatives de phishing, ou travaillaient avec des personnes des services des opérateurs de téléphonie mobile pour s'emparer du numéro d'une cible. Cependant, comme les entreprises ont mis en place davantage de protections pour contrecarrer ces tentatives de piratage, les cybercriminels ont adapté leurs méthodes, en exploitant les nouvelles technologies. Ils s'introduisent maintenant dans le compte mobile de leur victime à l'aide d'informations d'identification volées, forcées de manière brute ou ayant fait l'objet d'une fuite. Une fois connectés, ils lancent le transfert du numéro vers un nouvel appareil muni d'une eSIM. Ils génèrent ensuite un QR code d'activation qu'ils scannent avec leur propre smartphone, détournant ainsi le numéro. Simultanément, le propriétaire légitime voit sa eSIM désactivée.
Une fois qu'ils ont accédé au numéro de téléphone de la victime, les cybercriminels peuvent utiliser la ligne pour réaliser des campagnes de phishing et ainsi obtenir de précieuses informations personnelles et bancaires, qu'ils pourront revendre sur le Dark Web. Ils peuvent également s'en servir pour débloquer par le biais de la double authentification l'accès à certains services sensibles – comme l'application bancaire – ou pour des achats à distance. Ils peuvent également avoir accès aux comptes liés à la carte eSIM, ce qui leur ouvre d'autres possibilités d'escroquerie, par exemple en se faisant passer pour la victime et en incitant ses proches à envoyer de l'argent. Autant dire que les pertes financières peuvent vite se révéler assez importantes... Autre méthode : passer des appels surtaxés en direction de numéros qu'ils ont créés, ce qui peut entrainer une facture téléphonique de plusieurs centaines d'euros pour la victime.
Pour se défendre contre les attaques par échange d'eSIM, le mieux est d'utiliser des mots de passe complexes et uniques pour son opérateur mobile et ses comptes en ligne. Mieux vaut également activer systématiquement la double authentification. Enfin, pour les comptes bancaires et financiers, mieux vaut opter pour des clés physiques ou des applications d'authentification à deux facteurs. Bien évidemment, il faut rester vigilant face aux tentatives de hameçonnage et ne jamais donner ses identifiants.