Sécurité SMS et SIM : comment fonctionnent les attaques par échange de carte SIM
En janvier 2024, le compte X (Twitter) officiel de la SEC a été piraté. Un faux article sur l’approbation du Bitcoin ETF a fait bouger les marchés de plusieurs milliards de dollars. Le vecteur d'attaque ? Un SIM swap — l'attaquant a convaincu un opérateur de transférer le numéro de téléphone de la SEC sur sa carte SIM, puis l'a utilisé pour réinitialiser le mot de passe du compte.
Votre numéro de téléphone n'est pas seulement un moyen de vous joindre. Il s'agit d'une clé squelette pour votre courrier électronique, vos comptes bancaires, vos portefeuilles cryptographiques et vos réseaux sociaux. Et c'est incroyablement facile à voler.
Comment fonctionnent les attaques par échange de carte SIM
Une attaque par échange de carte SIM est une forme d'usurpation d'identité dans laquelle un attaquant s'empare de votre numéro de téléphone. Voici le processus :
Étape 1 : Rassembler des informations personnelles
L'attaquant collecte vos informations personnelles (nom, adresse, date de naissance, quatre derniers chiffres de votre SSN) à partir de violations de données, de réseaux sociaux ou de sites de courtiers de données. Ces informations sont souvent suffisantes pour répondre aux questions de sécurité du transporteur.
Étape 2 : Contactez le transporteur
L'attaquant appelle votre opérateur de téléphonie mobile (ou visite un magasin) et se fait passer pour vous. Ils affirment avoir perdu leur téléphone ou avoir besoin d'une nouvelle carte SIM. Grâce aux informations personnelles recueillies, ils réussissent la vérification de leur identité.
Étape 3 : Reprendre le numéro
L'opérateur transfère votre numéro sur la carte SIM de l'attaquant. Instantanément, vous perdez le service. L'attaquant reçoit désormais tous vos appels et SMS, y compris les codes de vérification SMS.
.À partir de là, l'attaquant réinitialise les mots de passe de vos comptes de messagerie, bancaires et cryptographiques à l'aide de la récupération de mot de passe par SMS. L'ensemble du processus prend moins de 30 minutes.
Méthodes d'interception SMS
L'échange de cartes SIM n'est pas le seul moyen de compromettre les SMS. Les attaquants disposent de plusieurs outils :
Exploitation du protocole SS7
SS7 (Signaling System 7) est le protocole qui connecte les réseaux téléphoniques à l'échelle mondiale. Il a été conçu en 1975 avec sécurité zéro. Les attaquants qui accèdent au réseau SS7 (souvent par l'intermédiaire d'employés de télécommunications corrompus ou en achetant un accès) peuvent :
- Intercepter les messages SMS en temps réel
- Suivez les emplacements des téléphones dans le monde entier
- Rediriger les appels vers différents numéros
En 2017, des criminels ont utilisé des attaques SS7 pour vider les comptes bancaires allemands en interceptant les codes SMS 2FA. Ce n'est pas théorique : cela se produit à grande échelle.
Malware on Your Phone
Les logiciels malveillants mobiles peuvent lire les messages SMS entrants directement depuis votre téléphone. Some variants:
Fausses stations de base (capteurs IMSI)
Des appareils comme les Stingrays se font passer pour des tours de téléphonie cellulaire, forçant les téléphones à proximité à se connecter. Une fois connecté, l'attaquant peut intercepter les appels et les SMS. Ces appareils coûtent seulement 1 000 $ et peuvent être construits avec un logiciel open source.
Pourquoi SMS 2FA n'est pas suffisamment sécurisé
De nombreux services utilisent toujours par défaut les SMS pour l'authentification à deux facteurs. Here's why this is dangerous:
- Les SMS ne sont pas cryptés — les messages circulent en clair sur le réseau de l'opérateur
- Les échanges de cartes SIM sont faciles — les opérateurs ont été poursuivis pour négligence dans les attaques d'échange
- SS7 est cassé — et ne peut pas être réparé sans remplacer l'ensemble de l'infrastructure téléphonique mondiale
- Les codes de récupération vont à SMS — même si vous utilisez une application d'authentification, la récupération de compte revient souvent à SMS
- T-Mobile : Code PIN du compte dans les paramètres
- AT&T : Code d'accès de sécurité supplémentaire
- Verizon : Code PIN du compte
- La plupart des opérateurs : Appelez le service client pour demander un code PIN de sécurité
- Perte soudaine du signal cellulaire
- Messages « SIM non fournie » ou « Aucun service »
- E-mails inattendus de l'opérateur concernant les modifications de compte
- Impossible de passer des appels ou d'envoyer des SMS
- Password Generator — les mots de passe forts restent votre meilleure défense en cas d'échec des SMS
- 2FA Guide — passer du SMS à l'authentification sécurisée
- Guide de récupération des e-mails — que faire lorsque les comptes sont compromis
Le NIST (l'Institut national américain des normes et de la technologie) déconseille l'authentification par SMS depuis 2016. Pourtant, la plupart des banques ne proposent toujours que des SMS.
The alternative? Applications d'authentification (Google Authenticator, Authy) ou clés de sécurité matérielles (YubiKey). Lisez notre guide 2FA complet pour les instructions de configuration.
Cas d'échange de carte SIM réels
SEC Twitter Hack (2024)
Le compte X de la Securities and Exchange Commission des États-Unis a été piraté via un échange de carte SIM. Un faux message d'approbation du Bitcoin ETF a été publié, provoquant une volatilité massive du marché.
Vol de crypto de 400 millions de dollars (2023)
Une attaque coordonnée par échange de carte SIM a ciblé les investisseurs en cryptographie, drainant les portefeuilles protégés par SMS 2FA. Le FBI a arrêté le réseau, mais la plupart des fonds n'ont pas été récupérés.
Twitter de Jack Dorsey (2019)
Le propre PDG de Twitter a vu son compte piraté via un échange de carte SIM. Si le PDG d'une entreprise technologique n'est pas en sécurité, personne ne l'est.
How to Protect Yourself
1. Set a PIN on Your Carrier AccountAppelez votre opérateur et définissez un code PIN ou un mot de passe qui doit être fourni pour toute modification de compte. Il s'agit de l'étape la plus importante :
2. Switch to Authenticator Apps
Remplacez SMS 2FA par une application d'authentification autant que possible. Les codes sont générés sur votre appareil et ne transitent jamais sur le réseau.
Applications recommandées : Google Authenticator, Authy (avec sauvegarde dans le cloud), Microsoft Authenticator. Pour une sécurité maximale, utilisez une clé matérielle YubiKey.
3. Activer le verrouillage numérique / le gel des portsLa plupart des opérateurs proposent une fonctionnalité qui empêche le transfert de votre numéro sans vérification en personne avec une pièce d'identité gouvernementale. Activez-le maintenant.
4. Utiliser un numéro distinct pour les comptes financiersEnvisagez d'utiliser un numéro Google Voice ou une carte SIM prépayée secondaire exclusivement pour les services bancaires et financiers. Ne partagez pas ce numéro publiquement.
5. Supprimez votre numéro des profils publics
Votre numéro de téléphone sur les réseaux sociaux facilite l'ingénierie sociale. Supprimez-le des profils publics et désactivez-vous des sites de courtage de données comme Whitepages, Spokeo et BeenVerified.
6. Surveiller les signes d'un échange de carte SIM
Si vous rencontrez l'un de ces problèmes, agissez immédiatement :
Si cela se produit : appelez immédiatement votre opérateur depuis un autre téléphone. Changez ensuite les mots de passe de votre messagerie et sécurisez vos comptes.
FAQ
Qu'est-ce qu'une attaque par échange de carte SIM ?
Une attaque par échange de carte SIM se produit lorsqu'un criminel convainc votre opérateur de téléphonie mobile de transférer votre numéro de téléphone sur une carte SIM qu'il contrôle. Une fois qu'ils ont votre numéro, ils reçoivent vos appels, SMS et codes de vérification SMS.
Quelqu'un peut-il pirater mon téléphone par SMS ?
Oui. Les attaquants peuvent envoyer des liens malveillants via SMS (smishing), exploiter les vulnérabilités du protocole SS7 pour intercepter des messages ou utiliser des attaques par échange de carte SIM pour rediriger entièrement vos messages. C'est pourquoi les SMS ne sont pas recommandés pour l'authentification à deux facteurs.
Comment savoir si ma carte SIM a été échangée ?
Le signe le plus évident est la perte soudaine du service cellulaire : pas de signal, pas d'appels, pas de SMS. Vous pouvez également recevoir des notifications inattendues de votre opérateur concernant les modifications de compte. Si cela se produit, contactez immédiatement votre opérateur depuis un autre téléphone.