Une récente attaque lancée contre Orange Belgium a de nouveau accru le risque de ‘SIM swapping’ pour les clients. De quoi s’agit-il et que peut-on faire pour y remédier?
Lors d’une récente attaque contre les systèmes IT d’Orange Belgium, des hackers ont accédé aux données de quelque 850.000 comptes clients. ‘Les pirates ont accédé à l’un de nos systèmes IT contenant les données suivantes: nom, prénom, numéro de téléphone, numéro de carte SIM, code PUK et plan tarifaire’, a indiqué Orange. Même si ces données ne sont ni des mots de passe ni des informations bancaires, le hacker éthique Inti De Ceukelaire fait remarquer que cela augmente le risque de SIM swapping’.
Qu’est-ce que le SIM swapping?
La fraude dite du SIM swapping consiste pour les hackers à tenter de convaincre les opérateurs mobiles de transférer le numéro de téléphone de la victime sur une carte SIM qu’ils possèdent. Cela leur permet d’accéder aux SMS et aux appels téléphoniques passés à ce numéro. Plus important encore peut-être, ils sont aussi à même d’intercepter ainsi les messages contenant des codes d’authentification à deux facteurs (2FA), ce qui leur permet par exemple de pirater ensuite des comptes de réseaux sociaux protégés par la 2FA.
L’un des problèmes des fraudes telles que le SIM swapping réside bien sûr dans le fait que vous n’en avez pas le contrôle complet. Tout dépend des procédures de votre opérateur. Ce sont eux qui transfèrent votre numéro et qui doivent par conséquent minutieusement vérifier si le compte appartient bien au demandeur. D’un autre côté, ils ne souhaitent pas être trop minutieux, car cela rendrait le transfert des numéros (qui doit être légalement possible) trop difficile. Dans le cas d’Orange, l’opérateur a déjà annoncé avoir pris des mesures et il redoublera probablement d’efforts dans les semaines à venir pour vérifier qui tente de transférer des numéros.
En général, ce type de fraude est un peu moins fréquent dans notre pays, précisément parce que les fournisseurs ont mis en place ces dernières années des procédures pour l’empêcher. Pour remplacer une carte en magasin, il vous faudra souvent présenter une pièce d’identité. Au téléphone, on vous demandera, entre autres, votre numéro de registre national. Bien sûr, cela n’empêchera pas un hacker de tromper un employé du centre d’appels, surtout s’il dispose des informations nécessaires.
Quoi faire là-contre?
Le conseil le plus important à prodiguer est de ne pas divulguer d’informations sensibles sur les réseaux sociaux, par exemple, ou en réponse à des mails suspects. Si vos données ont été volées lors d’une fuite, il est plutôt question d’un ‘damage control’.
– Dans la mesure du possible, utilisez l’authentification à deux facteurs (2FA) avec des systèmes plus sécurisés que les SMS pour les comptes critiques. Pensez à des systèmes tels qu’une ‘passkey’ (physique ou non) ou des applications d’authentification liées à votre appareil physique. Plus vos comptes importants (banque, mail, réseaux sociaux) seront sécurisés par un tel système, moins un SIM swapping (changement de carte SIM) pourra causer de dommages.
– Paramétrez une sécurité supplémentaire pour votre opérateur. Certains opérateurs télécoms, comme Proximus, vous permettent de configurer une authentification à deux facteurs (2FA) supplémentaire pour votre compte (par exemple, avec un authentificateur). Cela rend également plus difficile le vol de votre numéro de téléphone par des fraudeurs. Cela n’est actuellement pas possible avec Orange, car vous vous connectez à MyOrange avec votre numéro de téléphone et un code SMS.
– Vérifiez régulièrement vos comptes. Contrôlez par exemple la présence possible de messages suspects provenant de réseaux sociaux ou de courriels et passez en revue vos relevés bancaires à la recherche de transactions que vous n’auriez pas effectuées. Un agresseur transférera plus souvent de petits montants, car ils sont moins visibles tant par vous que par le système de détection des fraudes de la banque.
– Méfiez-vous des SMS bizarres et des connexions interrompues. Ce sont deux signes révélateurs que vous pourriez avoir été ciblé. Des SMS d’activation non sollicités peuvent indiquer que le fraudeur tente de prendre le contrôle de comptes. Lors d’un SIM swapping, la carte de la victime est en outre désactivée. Si vous ne pouvez plus ni passer d’appels ni utiliser de données mobiles sans raison apparente, comme des travaux planifiés, cela pourrait signifier que votre carte SIM a été désactivée. Si vous pensez avoir été victime d’un SIM swapping, il est important de prévenir votre opérateur et la police dans les plus brefs délais, afin que votre numéro de téléphone puisse être bloqué.
Orange Belgium ciblé par une cyberattaque fin juillet