Une usurpation de carte SIM manipule le processus de transfert des numéros de téléphone entre les opérateurs de téléphonie mobile et les modules d'identification de l'abonné (SIM) pour détourner vers l'attaquant les messages textes destinés à la victime. Si vous utilisez les messages textes pour l'authentification en deux étapes sur Stripe, un pirate peut employer cette méthode pour obtenir vos codes de vérification, et ainsi accéder à votre compte.

Comment fonctionnent les cartes SIM?

Une carte SIM est délivrée à chaque utilisateur de téléphone mobile et insérée dans son appareil pour l'identifier. En définitive, un numéro de téléphone correspond à une seule carte SIM. Récemment, les cartes eSIM ont été créées pour éliminer la carte physique, mais elles fonctionnent de la même manière.

Votre opérateur de téléphonie mobile peut changer la carte SIM vers laquelle pointe un numéro de téléphone. Cela vous permettra de conserver le même numéro de téléphone si vous perdez votre téléphone ou si la carte SIM est endommagée ou inutilisable. Cela signifie également que les employés de l'opérateur de téléphonie mobile peuvent effectuer ce changement.

De plus, dans de nombreux pays, la loi exige que les clients puissent changer librement d'opérateur de téléphonie mobile. Cela favorise une concurrence saine, mais signifie également que les opérateurs de téléphonie mobile ne procèdent qu'à une vérification minimale avant d'autoriser le transfert d'un numéro de téléphone vers un autre opérateur, lequel émet une nouvelle carte SIM.

Comment fonctionne une usurpation de carte SIM?

L'attaque peut se dérouler de différentes manières et avoir le même résultat :

1. L'attaquant se fait passer pour vous et contacte votre opérateur de téléphonie mobile en lui disant que vous avez perdu votre téléphone. L'attaquant convainc l'opérateur de téléphonie mobile qu'il est vous et reçoit une carte SIM de remplacement.
2. L'attaquant se fait passer pour vous et contacte un autre opérateur de téléphonie mobile, en lui disant que vous souhaitez passer chez ce nouvel opérateur. Le nouvel opérateur demande à l'ancien de confirmer le portage et l'attaquant le convainc, ce qui amène le nouvel opérateur à délivrer une carte SIM.
3. Un employé de votre opérateur de téléphonie mobile est soudoyé dans le but de changer votre numéro de téléphone et l'orienter vers la carte SIM de l'attaquant.

Dans tous les cas, l'attaquant obtient une carte SIM qui reçoit des messages textes et des appels téléphoniques à partir de votre numéro de téléphone, alors que votre téléphone actuel cesse de fonctionner.

Comment puis-je me protéger contre les usurpations de carte SIM?

En général, parce que des tiers peuvent être impliqués, il n'existe actuellement aucun moyen d'empêcher les usurpations de carte SIM. La seule manière de vous protéger de ses conséquences néfastes est de cesser d'utiliser les messages texte pour l'authentification en deux étapes.

Tant que l'option de réception par message texte pour l'authentification en deux étapes est activée, votre compte est menacé. Il est recommandé d'activer une autre méthode d'authentification en deux étapes, comme une application d'authentification ou une clé de sécurité matérielle, puis de désactiver l'option de réception par message texte.