Logo - Les Affaires
Logo - Les Affaires

Arnaque à la SIM: prévenir la menace

Pascal Forget|Publié le 11 septembre 2019

Arnaque à la SIM: prévenir la menace

(Photo: 123rf)

Fin août, Jack Dorsey a eu la mauvaise surprise de voir son compte Twitter piraté. Pendant une vingtaine de minutes, une série de messages racistes ont été publiés sur son fil. Le problème a été rapidement résolu: M. Dorsey est le PDG de Twitter, après tout.

«Se faire pirater un compte de média social, c’est terrible. Se faire pirater quand on est le PDG de l’entreprise, c’est pire», indique Victoria McIntosh, spécialiste en informations personnelles et en vie privée.

Pour prendre le contrôle du compte de M. Dorsey, une technique appelée arnaque à la carte SIM (SIM swapping) a été utilisée. Les fraudeurs ont réussi à tromper l’opérateur pour obtenir l’usage du numéro de téléphone de M. Dorsey, ce qui leur a permis de tweeter de son compte. La fonction qui permettait d’écrire directement à partir d’un message texte a depuis été désactivée.

Selon Mme McIntosh, un constat s’impose: «s’identifier avec un message texte dans son téléphone n’est plus sécuritaire. Les attaquants ont trouvé un maillon faible chez les opérateurs de téléphonie.»

L’accès au numéro de téléphone d’un patron, d’un professionnel ou d’un employé permettra de recevoir les codes nécessaires par messagerie texte pour se connecter aux comptes qui y sont associés.

Obtenir le contrôle d’un numéro de téléphone mobile est plus simple qu’on l’imagine. «Il suffit d’appeler un opérateur et dire qu’on a perdu son téléphone en se faisant passer pour quelqu’un d’autre, explique Mme McIntosh. Un employé pourrait aussi être tenté par une somme d’argent.»

Pas au Québec

Au Québec, il n’y aurait pas encore de raisons de s’inquiéter du phénomène. «Il n’y a pas encore de statistiques répertoriées pour les fraudes par carte SIM, mentionne Marie-Pier Lorrain, porte-parole pour la Sûreté du Québec. Mais il existe des méthodes plus sécuritaires que l’authentification par cellulaire, comme l’utilisation de codes uniques générés par une application comme Google Authenticator ou l’utilisation d’un périphérique externe».

Une clé pour s’identifier

Google a commencé à utiliser des clés physiques depuis 2014. Une fois leur utilisation généralisée dans l’entreprise, aucun vol de compte par hameçonnage n’a été à déplorer chez ses 85 000 employés.

«Nous croyons que c’est la meilleure façon de protéger un compte, affirme Christiaan Brand, gestionnaire de produits Titan chez Google. C’est d’ailleurs la seule méthode d’authentification 2 facteurs (2FA) que nous utilisons».

La grande innovation par rapport aux clés RSA, populaires à une époque, c’est qu’une clé ne contient pas seulement un code pour nous identifier, mais aussi une poignée de main numérique pour s’assurer qu’il ne puisse être transmis à un site d’hameçonnage. «La clé ne fait pas que nous identifier auprès d’un serveur; elle vérifie que c’est le bon serveur», dit M. Brand.

C’est d’ailleurs la méthode d’identification nécessaire pour s’enregistrer au Programme protection avancée de Google, conçu pour protéger les comptes des personnes à risque d’attaques ciblées, comme les chefs d’entreprise et les équipes de campagnes électorales.

La norme utilisée, Fido U2F (FIDO Universal 2nd Factor, sans lien avec l’opérateur de téléphone), est compatible avec plusieurs services, comme ceux de Google, Facebook et Twitter, mais aussi avec des applications de gestion de mots de passe comme 1Password et Lastpass.

Les clés ne demandent pas d’être rechargées ni d’installer un logiciel particulier. Deux clés Titan de Google, offertes au Canada depuis juillet, coûtent 65$; la compagnie Yubico en propose plusieurs modèles à partir d’une trentaine de dollars. Certains téléphones Google peuvent aussi être configurés pour offrir les mêmes fonctionnalités d’authentification.

Pas infaillible

Comme toutes les mesures de sécurité informatique, l’utilisation de clés physiques pour protéger son compte n’est pas infaillible. En cas de perte ou de vol de sa clé, retrouver l’accès à son compte personnel pourrait prendre quelques jours. On conseille d’ailleurs qu’au moins deux clés soient utilisées: une que l’on conserve sur soi, une autre que l’on garde en lieu sûr. Certains téléphones Android peuvent être configurés pour offrir le même niveau de sécurité.