Sim swap? Quèsaco? C'est une nouvelle arnaque sur téléphone mobile qui arrive en France, stimulée par le fait qu'elle a fait qu'elle compte dans les rangs de ses victimes un certain Jack Dorsey, patron de Twitter… Une vraie plaie pour les abonnés au téléphone mobile, mais aussi pour les e-commerçants, services en ligne et même réseaux sociaux, car elle permet de contourner le dispositif d'authentification et de validation des achats par un SMS. Ces « SMS-OTP » ( NDLR : one time password ou code unique d'authentification ), sont utilisés notamment pour valider 40 % des achats sur Internet.
Imaginez : un hacker (qui a collecté à votre insu des informations personnelles par fishing ou malwares… ) se fait passer pour vous auprès de votre opérateur. Prétextant avoir perdu sa carte SIM il s'en fait envoyer une nouvelle qu'il va insérer dans son propre mobile et activer. À ce moment-là , la SIM de votre téléphone est automatiquement désactivée; vous venez de perdre le contrôle de votre ligne téléphonique. Le SIM swap, littéralement échange de SIM, ou SIM splitting ( NDLR : partage de SIM ), c'est ça.
La parade s'organise
Mais pour quoi faire, vous demandez-vous ? Tout simplement pour se faire envoyer sur son smartphone (votre ligne !) et par SMS les fameux codes d'authentification à usage unique qui sécurisent les achats sur Internet, mais aussi les changements de mot de passe sur vos comptes en ligne.
Le hacker peut alors faire ses achats tranquillement à partir de votre compte Amazon, Cdiscount… dont il aura changé le mot de passe, faire des virements bancaires en ajoutant des bénéficiaires, vous faire chanter en menaçant de diffuser de fausses informations…
Pour prévenir ces arnaques qui commencent à se développer au Brésil et aux Etats-Unis, Orange, Bouygues, SFR et l'AFMM (Association française pour le développement de services et usages multimédias multi-opérateurs) ont développé une réponse qui va être testée par une grande banque dès la semaine prochaine.
Ensuite, ce dispositif sera proposé à partir de la mi-octobre aux agrégateurs télécoms, des sociétés qui proposent des services spéciaux aux e-commerçants, sites Internet, réseaux sociaux qui pourront, ou pas, l'utiliser.
« Pour l'usager, ce sera totalement transparent, explique Pierre Trocmé, directeur des programmes à l'AFMM. Il recevra toujours un SMS avec code unique d'authentification mais en arrière-plan, un certain nombre d'éléments seront vérifiés et en particulier la date d'activation de la carte SIM utilisée. Si elle est très récente et que l'utilisateur veut, par exemple, faire un gros achat en ligne, ajouter un bénéficiaire de virements à un compte bancaire, le commerçant en ligne ou la banque en seront aussitôt informés. À eux de mettre en place les réponses appropriées ».
Source : Daniel Rosenweg, Le Parisien