Une attaque par échange de cartes SIM consiste à manipuler le processus de transfert des numéros de téléphone entre les opérateurs de téléphonie mobile et les modules d'identité d'abonné (SIM) afin de détourner les SMS destinés à la victime pour les envoyer au pirate. Si vous utilisez le SMS pour l'authentification à deux facteurs chez Stripe, le pirate peut utiliser cette méthode pour obtenir vos codes de vérification et ainsi accéder à votre compte.
Une carte SIM est délivrée à chaque client de téléphone mobile et insérée dans le téléphone pour identifier le client. Un numéro de téléphone correspond donc à une seule carte SIM. Récemment, les eSIM ont été introduites pour éliminer la carte physique, mais elles fonctionnent de la même manière.
Votre opérateur de téléphonie mobile a la possibilité de modifier la carte SIM correspondant à un numéro de téléphone. Cela vous permettra de conserver le même numéro de téléphone si vous perdez votre téléphone ou si la carte SIM est endommagée ou inutilisable. Cela signifie également que les employés de l'opérateur de téléphonie mobile sont habilités à effectuer ce changement.
En outre, dans de nombreux pays, la loi exige que les clients puissent changer librement d'opérateur de téléphonie mobile. Cela favorise une concurrence saine, mais signifie également que les opérateurs de téléphonie mobile ne procèdent qu'à une vérification minimale avant d'autoriser le transfert d'un numéro de téléphone vers un autre opérateur, qui délivre alors une nouvelle carte SIM.
L'attaque peut se dérouler de différentes manières pour aboutir au même résultat :
Dans tous les cas, le pirate obtient une carte SIM qui reçoit des SMS et des appels téléphoniques à partir de votre numéro de téléphone, tandis que votre téléphone existant cesse de fonctionner.
En règle générale, en raison de l'implication de tiers, il n'existe actuellement aucun moyen d'empêcher les attaques par échange de cartes SIM. Le seul moyen de se protéger de ses effets dommageables est de ne plus utiliser les SMS pour l'authentification à deux facteurs.
Tant que le SMS pour l'authentification à deux facteurs est activé, votre compte est à risque. Nous vous recommandons d'activer une autre méthode d'authentification en deux étapes, telle qu'une application d'authentification ou une clé de sécurité matérielle, puis de désactiver le SMS.