Caroline a subi un véritable calvaire. À plusieurs reprises, un pirate est parvenu à dérober son numéro de téléphone, un vol connu sous le nom de SIM swapping. Malgré un changement d’opérateur et de nombreuses tentatives pour bloquer sa ligne, Caroline n’a pas réussi à empêcher le malfaiteur d’arriver à sa fin : valider un virement frauduleux depuis son compte bancaire.

Le 24 septembre, Cyberguerre reçoit un étrange email : Caroline* se présente comme victime de SIM swapping, et précise qu’elle nous contacte après avoir lu notre article sur le sujet. Elle nous raconte qu’une personne a dérobé son numéro de portable lorsqu’elle était cliente chez RED (SFR). Elle a donc suspendu sa ligne, commandé une nouvelle carte SIM et ainsi récupéré son numéro… pour quelques jours seulement : l’inconnu est de nouveau parvenu à le voler.

Déçue par SFR, la Française, ingénieure de formation, nous écrit qu’elle a résilié son abonnement et est passée chez Sosh (Orange). À peine a-t-elle reçu sa nouvelle carte SIM, que le scénario s’est répété… « Pourquoi une personne s’acharne-t-elle tant sur mon numéro alors que je le bloque à chaque fois ? », s’interroge-t-elle dans l’email, laissant transparaître son désarroi.

Image d'erreur

Le SIM Swapping consiste à tromper l’opérateur pour transférer le numéro de téléphone de sa victime sur une carte SIM en sa possession. // Source : Louise Audry pour Numerama

Pour un hacker, le SIM-Swapping, ou « l’échange de carte SIM », consiste à transférer le numéro de téléphone d’une personne vers une carte SIM en sa possession. Une fois l’opération réussie, le pirate peut se faire passer pour sa victime auprès d’autres personnes, ou encore recevoir les codes de double authentification, nécessaires pour se connecter à certains services ou pour valider certaines opérations critiques. La victime perd quant à elle tout réseau et toute connexion 3G/4G, car l’opération désactive sa carte SIM.

Un numéro de téléphone utilisé pour valider 3 virements de 17 000 €

Pour effectuer l’échange frauduleux de cartes SIM, il existe de nombreuses méthodes, mais le plus souvent, le pirate parvient à tromper l’opérateur en se faisant passer pour la victime. Ou alors, il soudoie tout simplement un des employés. Quel que soit le mode opératoire du malfaiteur, la victime n’a pas vraiment les cartes en main pour s’en protéger efficacement. Seuls les opérateurs peuvent mettre en place les garde-fous suffisant pour empêcher la catastrophe. C’est là que le bât blesse dans l’histoire de Caroline : ni SFR, ni Orange n’ont su détecter l’activité suspecte autour du numéro de leur cliente.

Pourtant, dans plusieurs discussions avec leurs services clients que nous avons pu consulter, la victime a tenté de les prévenir de la gravité de la situation. Contacté par Cyberguerre, SFR a décliné notre demande d’information en précisant qu’il ne « prenait pas la parole sur les problèmes de cas clients ou de fraudes ». Le service de communication d’Orange nous a quant à lui indiqué à plusieurs reprises qu’il reviendrait vers nous, mais nous attendons encore sa réponse.

Le numéro de téléphone permet de valider la double authentification

Quatre jours après son premier email, Caroline a découvert pourquoi on s’acharnait sur son numéro de téléphone : quelqu’un a ajouté des bénéficiaires et validé trois virements de 17 000 euros depuis le compte bancaire de l’entreprise qu’elle détient avec son conjoint. Le montant cumulé des opérations correspond à l’intégralité des fonds de l’entreprise, créée au début de l’année. Heureusement, un seul des trois virements a été validé avant que la néobanque ne contacte le couple par email, pour confirmer les deux autres.

Pour ajouter les nouveaux bénéficiaires et demander ces virements, le pirate devait être connecté au compte, puis entrer un code envoyé par SMS au portable de Caroline. L’échange de carte SIM n’est pas au centre de l’opération de piratage, puisque les hackers étaient déjà parvenus à récupérer les identifiants du compte bancaire, mais il a tout de même débloqué la dernière étape du vol.

Changer d’opérateur ne résout pas le problème

Pour mieux comprendre l’affaire, relativement complexe, il faut remonté à l’été 2020. Le calvaire de Caroline commence le 15 août. « J’ai reçu un SMS de RED by SFR m’indiquant qu’une demande d’activation d’une nouvelle carte SIM était en cours en boutique », nous écrit-elle. Ce compte RED faisait partie de l’abonnement Box de son foyer, et se trouvait donc sous le nom de son conjoint, qui s’avère également être son associé.

À la réception de ce premier SMS, l’entrepreneuse reconnaît un piratage, et prend des mesures de prévention. Elle commence par bloquer sa ligne, puis elle modifie les mots de passe de son compte RED et de l’adresse Gmail qui y est rattachée. Ensuite elle commande une nouvelle carte SIM pour récupérer son numéro de téléphone, qui a pour elle une grande valeur, puisque c’est celui qu’elle utilise dans le cadre de son travail.

« Je remarque soudainement que je n’ai plus de service sur mon portable »

Moins d’une semaine plus tard, elle reçoit la nouvelle carte SIM, et réactive sa ligne. Elle pense alors que son étrange mésaventure s’est terminée sans mal… mais elle reçoit un nouveau SMS quelques jours plus tard : une carte SIM est en cours d’activation dans une boutique en région parisienne, tandis qu’elle habite à Bordeaux. L’ingénieure peste encore :  « Je ne comprends pas comment RED a pu laisser faire ça, alors que je venais de recevoir une carte SIM par la poste à mon adresse et que je leur ai indiqué être victime de SIM swapping quelques jours auparavant… »

Caroline décide de résilier son contrat avec RED et bascule chez Sosh en gardant le même numéro. Elle pense alors que son conjoint est la cible piratage, et qu’elle y échapperait en utilisant une adresse email différente et son propre nom. Elle reçoit un email confirmant la résiliation de son contrat avec SFR le 8 septembre, suite au délai de rétractation de 10 jours. Pendant deux semaines, tout se déroule comme prévu… jusqu’au 24 septembre, le jour où elle écrira à Cyberguerre. « Je travaille chez moi, et je remarque soudainement que je n’ai plus aucun service sur mon portable. Je contacte le service client Sosh, qui m’indique la procédure à suivre pour vérifier mon réseau. Après plusieurs essais infructueux, ils m’annoncent, comme un cheveu sur la soupe, que quelqu’un vient de demander une nouvelle carte SIM en boutique ! Je n’ai reçu aucun SMS ni email à ce sujet ! », s’indigne-t-elle.

Pour accéder au dossier client, l’opérateur demande seulement le nom et l’adresse

Cette nouvelle alerte la décide à changer de numéro, et elle entame immédiatement les démarches nécessaires auprès de son opérateur. Mais elle rencontre un nouveau problème : « Orange m’informe que mon nouveau numéro de téléphone me sera communiqué par SMS, alors que j’ai demandé le blocage de ma ligne et que je ne reçois plus de SMS ».

Et elle n’est pas au bout de ses peines : dans les deux jours qui suivent, le pirate parvient à revenir sur sa demande de résiliation, et à réactiver sa ligne. Caroline nous a fourni plusieurs extraits de ses conversations avec le chat de Sosh. Sur l’un d’entre eux, une conseillère écrit : « Pour sécuriser l’accès à votre dossier, pourriez-vous me communiquer le numéro concerné par votre demande, ainsi que le nom, le prénom et l’adresse postale du titulaire s’il vous plaît ? ». Comme le relève elle-même Caroline, nul doute que le malfaiteur a également accès à ces informations, et il est donc possible qu’il se soit identifié sous son nom…

Les opérateurs ne sont pas les seuls responsables

Finalement, à force d’insister et après le vol sur son compte bancaire, une opératrice du chat de Sosh finit par remonter la demande « aux collègues du service expertise ». Depuis, l’ancienne ligne a enfin été désactivée, et le nouveau numéro n’a pas été compromis.

Le calvaire de Caroline pointe des dysfonctionnements évidents dans la détection de la fraude des deux opérateurs, qui n’ont par exemple pas été alertés par les nombreux changements de carte SIM successifs. Il souligne aussi leur difficulté à faire circuler l’information sur le piratage aux personnes concernées.

En revanche, le manque de protection et de précaution des opérateurs n’est pas la principale origine du problème, loin de là. Le SIM swapping n’a pas suffi, à lui seul, à pirater le compte bancaire de l’entreprise de Caroline. Il a seulement permis de franchir la dernière étape du virement. Le compte était déjà compromis, et c’est ici la principale inconnue de l’affaire : Caroline a-t-elle été infectée par un malware qui aurait volé ses identifiants ? Sa banque a-t-elle été victime d’une fuite de données qui auraient servi aux pirates ? Seule la banque, qui garde le silence, peut avoir une réponse à cette question épineuse.

* le nom a été modifié à la demande de la victime

Source : Numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !