Une attaque par échange de cartes SIM consiste à manipuler le processus de transfert des numéros de téléphone entre les opérateurs de téléphonie mobile et les modules d'identité d'abonné (SIM) afin de détourner les SMS destinés à la victime pour les envoyer au pirate. Si vous utilisez le SMS pour l'authentification à deux facteurs chez Stripe, le pirate peut utiliser cette méthode pour obtenir vos codes de vérification et ainsi accéder à votre compte.

Comment fonctionnent les cartes SIM?

Une carte SIM est délivrée à chaque client de téléphone mobile et insérée dans le téléphone pour identifier le client. Un numéro de téléphone correspond donc à une seule carte SIM. Récemment, les eSIM ont été introduites pour éliminer la carte physique, mais elles fonctionnent de la même manière.

Votre opérateur de téléphonie mobile a la possibilité de modifier la carte SIM correspondant à un numéro de téléphone. Cela vous permettra de conserver le même numéro de téléphone si vous perdez votre téléphone ou si la carte SIM est endommagée ou inutilisable. Cela signifie également que les employés de l'opérateur de téléphonie mobile sont habilités à effectuer ce changement.

En outre, dans de nombreux pays, la loi exige que les clients puissent changer librement d'opérateur de téléphonie mobile. Cela favorise une concurrence saine, mais signifie également que les opérateurs de téléphonie mobile ne procèdent qu'à une vérification minimale avant d'autoriser le transfert d'un numéro de téléphone vers un autre opérateur, qui délivre alors une nouvelle carte SIM.

Comment fonctionnent les attaques par échange de cartes SIM?

L'attaque peut se dérouler de différentes manières pour aboutir au même résultat :

1. Le pirate se fait passer pour vous et contacte votre opérateur de téléphonie mobile en lui disant que vous avez perdu votre téléphone. Le pirate parvient à convaincre l'opérateur de téléphonie mobile qu'il est vous et obtient une carte SIM de remplacement;
2. Le pirate se fait passer pour vous et contacte un autre opérateur de téléphonie mobile, en lui disant que vous souhaitez passer à ce nouvel opérateur. Le nouvel opérateur demande à l'ancien de confirmer le portage, et le pirate parvient à le convaincre, ce qui amène le nouvel opérateur à délivrer une carte SIM; ou
3. Un employé de votre opérateur de téléphonie mobile est corrompu et modifie votre numéro de téléphone pour le faire correspondre à la carte SIM du pirate.

Dans tous les cas, le pirate obtient une carte SIM qui reçoit des SMS et des appels téléphoniques à partir de votre numéro de téléphone, tandis que votre téléphone existant cesse de fonctionner.

Comment puis-je me protéger contre les attaques par échange de cartes SIM?

En règle générale, en raison de l'implication de tiers, il n'existe actuellement aucun moyen d'empêcher les attaques par échange de cartes SIM. Le seul moyen de se protéger de ses effets dommageables est de ne plus utiliser les SMS pour l'authentification à deux facteurs.

Tant que le SMS pour l'authentification à deux facteurs est activé, votre compte est à risque. Nous vous recommandons d'activer une autre méthode d'authentification en deux étapes, telle qu'une application d'authentification ou une clé de sécurité matérielle, puis de désactiver le SMS.