Un simple appel au service client de l’opérateur téléphonique de la victime peut suffire. Le pirate a juste à prétendre à une carte SIM défaillante, perdue ou à un téléphone volé. Le hacker persuade ainsi le téléconseiller d’activer le numéro de téléphone de sa victime sur une nouvelle carte SIM en sa possession.
Avec le mien, je pense que ça n'a aucune chance de marcher.
Je me demande bien s'il existe un opérateur assez stupide pour permettre ça. Genre "tiens, j'ai justement sous la main une autre carte SIM chez un autre opérateur, au nom de Tartempion. Vous pouvez basculer mon compte dessus? / Bien sûr, on fait ça tous les jours d'échanger les comptes entre des SIMs d'opérateurs différents, d'ailleurs on se demande bien pourquoi on vous envoie une nouvelle SIM qu'il faut activer par une procédure bien casse-pied quand vous changez d'opérateur".
Un truc qui n'est pas non plus abordé dans cet article pourravissime, c'est quand même qu'il faut non-seulement hacker la SIM, mais aussi hacker le compte (et peut-être même l'email). Ça fait beaucoup d'efforts, et on peut se demander s'il ne serait pas plus simple de piquer le téléphone directement.
Et ça oublie aussi complètement que maintenant la plupart des sites utilisent les systèmes d'identification des banques pour valider une partie des achats (les gros, les premiers, etc), ce qui nécessite aussi de connaitre le PIN d'identification à l'application de la banque.
oui, c'est vrai le site est bien nul ; je n'ai pas trouvé mieux :
- plusieurs sites avec blocage si non acceptation des traceurs numériques
- ou avec abonnement.
je vais essayer de trouver mieux. Il y a un reportage sur le journal télévisé de France2, de 13h.
Je suis plus inquiet pour les arnaques via compte formation, carte vitale, popup windows infecté, que le sim swapping.
D'ailleurs sur un récent sondage sur les ranches d'age de population touchées, on a jamais le type d'arnaque, c'est bien dommage.
Je me suis fait hacké mon tel portable en 2020 pendant un voyage à Paris. Je ne recevais plus les appels, mais je pouvais appeler. Cela s'est passé au début de la pandémie et ça m'a pas mal isolée notamment des personnes agées de ma famille (surtout ma mère qui était en train de mourir d'un cancer). Est-ce que quelqu'un·e parmis vous sait comment ce genre de truc peut se faire ? Ni l'opérateur ni le constructeur du téléphone n'ont pu résoudre le problème, même en changeant de téléphone et même en changeant la carte sim. J'ai du changé de numéro de téléphone et du coup j'ai perdu l'accès à des platformes sur laquelle j'avais systématiquement l'identification à double facteur.
Les commentaires, de ce que j'en comprends (ou est-ce lié au biais de l'expérience que j'en ai ?) c'est que la possibilité de la chose doit dépendre des pays et opérateurs. En France en tout cas (et pour ce que j'en ai vu en Belgique et en Suisse aussi), les opérateurs principaux (gros/historiques) offre un service gratuit pour les excuses évoqués : on bloque la carte SIM dès votre déclaration, et on vous envoie une autre (une des rares fois où je trouve utile le fait d'avoir votre adresse postale) sans avoir besoin de faire de procédure d'activation ou autre ; et jamais rien de plus (pas de prêt de carte temporaire ou d'activation de votre numéro sur une autre carte, etc.)
Bref, même quand on a envie d'y croire, beaucoup ne sont pas concernés àmha
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Ceci dit, si on pirate le compte chez l'opérateur, voler la carte sim ne pose pas forcément trop de souci. Testé récemment : j'ai recommandé une carte sim et au passage mis mon adresse et le mail à jour, et le tout s'est fait sans autre confirmation de la part de l'opérateur. J'espère que ce n'est pas le cas chez tous, mais là, chez celui-ci, quand on connaît l'identifiant et le mot de passe, on peut donc tout changer facilement et récupérer le numéro de la personne.
Or, vu qu'en général les pirates commencent par le mail, et qu'on trouve tout dans les archives chez la plupart des gens…
Enfin, bref, c'est une attaque assez ciblée mais qui me semble absolument réalisable.
récupérer silencieusement le controle de la boite aux lettres (mail) ainsi que du terminal de double authentification (SMS généralement), cela peut permettre d'ouvrir l'accès à plein de choses :
- quelles sont mes banques ; j'ai le sentiment que les banques en ligne sont plus permissives concernant le mécanisme de mot de passe perdu
- sites d'achat en ligne, avec ou sans validation.
- sans aspect financier immédiat, les réseaux sociaux, les adresses mail perso ou pro.
Hélas oui. Le mail, avec ses défauts, a pris de plus en plus de place et est devenu un pilier (un pied d'argile sur lequel s'est construit un château.) D'un autre côté, le progrès pour beaucoup d'entreprises a été de passer par un portail web dont la clé est le mail et qui doit offrir de plus en plus de possibilités (bien) sans garde-fours (mal) en faisant des économies…
Je confirme voir aussi autour de moi l'absence de gestionnaire de mots de passes et l'utilisation de la messagerie comme post-it…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Posté par arnaudus .
Évalué à 5.
Dernière modification le 21 avril 2023 à 09:15.
Je ne pense pas que quelqu'un nie que le SIM swapping existe. Ce qui est faux, c'est le mécanisme invoqué (le "pirate" téléphone à l'opérateur). C'est d'ailleurs exactement ce que le premier article dit, même si on sent bien que le journaliste a vendu de l'octet (il raconte en détail comment c'est censé se passer puis finit par "en France c'est quand même très peu probable").
Il existe des moyens de hacker le système SIM, c'est tout. Une carte "fantôme" sur la zone de la même antenne-relais reçoit tout sans jamais émettre, c'est indétectable. Certains hacks sont bien documentés; à un moment ça passait par un SMS trafiqué qui exploitait une vulnérabilité du chiffrage SIM pour récupérer quand on l'ouvrait tout un tas d'informations sur le chiffrement.
À noter quand même, je ne pense pas que le SMS ait jamais été conçu pour envoyer des données confidentielles, un peu comme les e-mails. Ça n'est donc pas très surprenant qu'on puisse profiter des vulnérabilités.
Je ne compte plus le nombre de site qui proposent comme moyen de double authentification un mail ou un SMS; avec comme option "j'ai oublié mon mot de passe" qui qui envoie le lien ou le nouveau mot de passe… sur le second moyen! On passe en simple authentification qui est le compte mail ou n° de téléphone.
Quand on connaît la sécurité moyenne des téléphones c'est à pleurer. C'est pas comme si le grand public n'avait pas entendu parler de pegasus ou que le grand G, faisait régulièrement du ménage dans sa boutique d'application pour comportement indésirable.
Un système a double authentification devrait se baser sur un troisième moyen pour la récupération de mot de passe.
Quant au sim swapping, j'avais vu passer le truc y'a quelques années; et ça passe par une histoire larmoyante pour que l'opérateur décale le n° sur l'autre sim (genre attendre le coup de fil d'un médecin dont on a pas le n°, s'occupant du cancer de sa mère, ou l'appel d'un DRH devant nous embaucher pour tout de suite, ou tout autre raison impérieuse justifiant qu'on a pas le temps d'attendre ou communiquer le n° au prétendu appelant. Ça peut aussi être le sms de la banque pour valider un virement, et qu'on est le dernier jour pour payer…)
Les opérateurs qui s'étaient fait piégés avaient fait une formation pour sensibiliser au risque; mais avec le turnover des téléopérateurs une piqûre de rappel ne peut pas faire de mal.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# ça existe (en France), des opérateurs téléphoniques qui font ça ?
Posté par mahikeulbody . Évalué à 3.
Avec le mien, je pense que ça n'a aucune chance de marcher.
[^] # Re: ça existe (en France), des opérateurs téléphoniques qui font ça ?
Posté par arnaudus . Évalué à 5.
Je me demande bien s'il existe un opérateur assez stupide pour permettre ça. Genre "tiens, j'ai justement sous la main une autre carte SIM chez un autre opérateur, au nom de Tartempion. Vous pouvez basculer mon compte dessus? / Bien sûr, on fait ça tous les jours d'échanger les comptes entre des SIMs d'opérateurs différents, d'ailleurs on se demande bien pourquoi on vous envoie une nouvelle SIM qu'il faut activer par une procédure bien casse-pied quand vous changez d'opérateur".
Un truc qui n'est pas non plus abordé dans cet article pourravissime, c'est quand même qu'il faut non-seulement hacker la SIM, mais aussi hacker le compte (et peut-être même l'email). Ça fait beaucoup d'efforts, et on peut se demander s'il ne serait pas plus simple de piquer le téléphone directement.
Et ça oublie aussi complètement que maintenant la plupart des sites utilisent les systèmes d'identification des banques pour valider une partie des achats (les gros, les premiers, etc), ce qui nécessite aussi de connaitre le PIN d'identification à l'application de la banque.
[^] # Re: ça existe (en France), des opérateurs téléphoniques qui font ça ?
Posté par Misc (site web personnel) . Évalué à 10.
Des opérateurs qui répondent au tel ?
# ... Wow. Ça faisait longtemps que j’avais pas vu un site pareil !
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 4.
Avec μBlock Origin d’activé :
(la popup n’arrive pas instantanément)
La connaissance libre : https://zestedesavoir.com
[^] # Re: ... Wow. Ça faisait longtemps que j’avais pas vu un site pareil !
Posté par Marc Quinton . Évalué à 3.
oui, c'est vrai le site est bien nul ; je n'ai pas trouvé mieux :
- plusieurs sites avec blocage si non acceptation des traceurs numériques
- ou avec abonnement.
je vais essayer de trouver mieux. Il y a un reportage sur le journal télévisé de France2, de 13h.
# autres liens
Posté par Marc Quinton . Évalué à 4. Dernière modification le 19 avril 2023 à 18:38.
mais bien sûr, ça n'arrive qu'aux autres quand je lis certains commentaires ci-dessus.
[^] # Re: autres liens
Posté par Xanatos . Évalué à 3.
Je suis plus inquiet pour les arnaques via compte formation, carte vitale, popup windows infecté, que le sim swapping.
D'ailleurs sur un récent sondage sur les ranches d'age de population touchées, on a jamais le type d'arnaque, c'est bien dommage.
[^] # Re: autres liens
Posté par Nattes . Évalué à 6.
Je me suis fait hacké mon tel portable en 2020 pendant un voyage à Paris. Je ne recevais plus les appels, mais je pouvais appeler. Cela s'est passé au début de la pandémie et ça m'a pas mal isolée notamment des personnes agées de ma famille (surtout ma mère qui était en train de mourir d'un cancer). Est-ce que quelqu'un·e parmis vous sait comment ce genre de truc peut se faire ? Ni l'opérateur ni le constructeur du téléphone n'ont pu résoudre le problème, même en changeant de téléphone et même en changeant la carte sim. J'ai du changé de numéro de téléphone et du coup j'ai perdu l'accès à des platformes sur laquelle j'avais systématiquement l'identification à double facteur.
[^] # Re: autres liens
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Les commentaires, de ce que j'en comprends (ou est-ce lié au biais de l'expérience que j'en ai ?) c'est que la possibilité de la chose doit dépendre des pays et opérateurs. En France en tout cas (et pour ce que j'en ai vu en Belgique et en Suisse aussi), les opérateurs principaux (gros/historiques) offre un service gratuit pour les excuses évoqués : on bloque la carte SIM dès votre déclaration, et on vous envoie une autre (une des rares fois où je trouve utile le fait d'avoir votre adresse postale) sans avoir besoin de faire de procédure d'activation ou autre ; et jamais rien de plus (pas de prêt de carte temporaire ou d'activation de votre numéro sur une autre carte, etc.)
Bref, même quand on a envie d'y croire, beaucoup ne sont pas concernés àmha
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: autres liens
Posté par Zatalyz (site web personnel) . Évalué à 4.
Ceci dit, si on pirate le compte chez l'opérateur, voler la carte sim ne pose pas forcément trop de souci. Testé récemment : j'ai recommandé une carte sim et au passage mis mon adresse et le mail à jour, et le tout s'est fait sans autre confirmation de la part de l'opérateur. J'espère que ce n'est pas le cas chez tous, mais là, chez celui-ci, quand on connaît l'identifiant et le mot de passe, on peut donc tout changer facilement et récupérer le numéro de la personne.
Or, vu qu'en général les pirates commencent par le mail, et qu'on trouve tout dans les archives chez la plupart des gens…
Enfin, bref, c'est une attaque assez ciblée mais qui me semble absolument réalisable.
[^] # Re: autres liens
Posté par Marc Quinton . Évalué à 3.
récupérer silencieusement le controle de la boite aux lettres (mail) ainsi que du terminal de double authentification (SMS généralement), cela peut permettre d'ouvrir l'accès à plein de choses :
- quelles sont mes banques ; j'ai le sentiment que les banques en ligne sont plus permissives concernant le mécanisme de mot de passe perdu
- sites d'achat en ligne, avec ou sans validation.
- sans aspect financier immédiat, les réseaux sociaux, les adresses mail perso ou pro.
[^] # Re: autres liens
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Hélas oui. Le mail, avec ses défauts, a pris de plus en plus de place et est devenu un pilier (un pied d'argile sur lequel s'est construit un château.) D'un autre côté, le progrès pour beaucoup d'entreprises a été de passer par un portail web dont la clé est le mail et qui doit offrir de plus en plus de possibilités (bien) sans garde-fours (mal) en faisant des économies…
Je confirme voir aussi autour de moi l'absence de gestionnaire de mots de passes et l'utilisation de la messagerie comme post-it…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: autres liens
Posté par arnaudus . Évalué à 5. Dernière modification le 21 avril 2023 à 09:15.
Je ne pense pas que quelqu'un nie que le SIM swapping existe. Ce qui est faux, c'est le mécanisme invoqué (le "pirate" téléphone à l'opérateur). C'est d'ailleurs exactement ce que le premier article dit, même si on sent bien que le journaliste a vendu de l'octet (il raconte en détail comment c'est censé se passer puis finit par "en France c'est quand même très peu probable").
Il existe des moyens de hacker le système SIM, c'est tout. Une carte "fantôme" sur la zone de la même antenne-relais reçoit tout sans jamais émettre, c'est indétectable. Certains hacks sont bien documentés; à un moment ça passait par un SMS trafiqué qui exploitait une vulnérabilité du chiffrage SIM pour récupérer quand on l'ouvrait tout un tas d'informations sur le chiffrement.
À noter quand même, je ne pense pas que le SMS ait jamais été conçu pour envoyer des données confidentielles, un peu comme les e-mails. Ça n'est donc pas très surprenant qu'on puisse profiter des vulnérabilités.
# Le problème c'est les implémentations de la double authentification :)
Posté par fearan . Évalué à 4.
Je ne compte plus le nombre de site qui proposent comme moyen de double authentification un mail ou un SMS; avec comme option "j'ai oublié mon mot de passe" qui qui envoie le lien ou le nouveau mot de passe… sur le second moyen! On passe en simple authentification qui est le compte mail ou n° de téléphone.
Quand on connaît la sécurité moyenne des téléphones c'est à pleurer. C'est pas comme si le grand public n'avait pas entendu parler de pegasus ou que le grand G, faisait régulièrement du ménage dans sa boutique d'application pour comportement indésirable.
Un système a double authentification devrait se baser sur un troisième moyen pour la récupération de mot de passe.
Quant au sim swapping, j'avais vu passer le truc y'a quelques années; et ça passe par une histoire larmoyante pour que l'opérateur décale le n° sur l'autre sim (genre attendre le coup de fil d'un médecin dont on a pas le n°, s'occupant du cancer de sa mère, ou l'appel d'un DRH devant nous embaucher pour tout de suite, ou tout autre raison impérieuse justifiant qu'on a pas le temps d'attendre ou communiquer le n° au prétendu appelant. Ça peut aussi être le sms de la banque pour valider un virement, et qu'on est le dernier jour pour payer…)
Les opérateurs qui s'étaient fait piégés avaient fait une formation pour sensibiliser au risque; mais avec le turnover des téléopérateurs une piqûre de rappel ne peut pas faire de mal.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.