Arnaque à la carte SIM : connaissez-vous le "SIM swapping" ?

Le "SIM swapping" permet de prendre le contrôle d’un numéro de téléphone, ouvrant la porte à une multitude de possibilités pour les escrocs.

Imaginez les dégâts possibles si un hacker venait à prendre le contrôle de votre numéro de téléphone. En quelques secondes, il pourrait faire des achats à votre place, réinitialiser vos mots de passe ou encore valider des opérations bancaires. Apparue outre-Atlantique en 2019, le "SIM swapping" consiste tout simplement à intercepter vos SMS à partir d’une carte SIM tierce. Pour récupérer la carte SIM de leurs victimes, les escrocs ont recours à plusieurs techniques. L’une d’entre elles consiste à appeler l'opérateur en se faisant passer pour vous, afin qu'il transfère les SMS automatiquement sur une autre carte SIM. Bien renseignés, les aigrefins utilisent vos données confidentielles pour duper les opérateurs.

Un forfait multiplié par 100 pour une victime

"Les pirates s’attaquent avec des méthodes de plus en plus sophistiquées au numéro de téléphone qui, avec l’importance des smartphones dans nos vies, est devenu une cible plus haut de gamme et lucrative qu’un ordinateur", explique au Parisien Bogdan Botezatu, directeur de la recherche sur les menaces chez Bitdefender. En France, le phénomène prend de l’ampleur et les témoignages s’accumulent. Une victime a ainsi reçu une facture de 1 769 euros au lieu des 17 euros de son forfait habituel. "Il aurait envoyé 25 000 SMS facturés à 0,07 euros… vers la Belgique", précise Le Parisien. Comment en est-il arrivé là ? En cliquant sur un simple SMS de SFR (croyait-il), l’invitant sur un site bidon mais à la charte graphique très proche de l’opérateur au carré rouge. Grâce à cette technique, le cybercriminel a réussi à pirater la ligne téléphonique de sa victime.

Le PDG de Twitter lui aussi visé

Déjà lésées, certaines cibles ont aussi subi la double peine avec des appels parfois inquiétants. "Certaines victimes ont témoigné avoir reçu des appels menaçants d’autres victimes qui les accusaient d'avoir mené des escroqueries comme celle à la vignette Crit’Air ou CPF à partir de leur numéro", explique Jean-François Latour, responsable de l’expertise à Cybermalveillance.gouv.fr.

Anonymes ou PDG de grandes entreprises, personne n’est à l’abri. En 2019, Jack Dorsey, à l'époque patron de Twitter, en a fait l’amère expérience. Des hackers ont pris le contrôle de son compte Twitter pour diffuser des insultes racistes grâce à l'aide de cette nouvelle pratique frauduleuse. "Le numéro de téléphone associé au compte a été compromis en raison d'un oubli de sécurité de la part de l’opérateur mobile. Cela permettait à une personne non autorisée de composer et d'envoyer des tweets par SMS à partir du numéro de téléphone", a communiqué Twitter à l'époque. Pour éviter de tomber dans le panneau, ne cliquez sur aucun lien reçu par SMS dont vous n'êtes pas absolument certain de l'expéditeur.

VIDÉO - Un Toulousain de 17 ans soupçonné d'être le cerveau d'une arnaque bancaire géante à 1 million d'euros