Une usurpation de carte SIM manipule le processus de transfert des numéros de téléphone entre les opérateurs de téléphonie mobile et les modules d'identité d'abonné (SIM) pour détourner vers l’attaquant les messages textuels destinés à la victime. Si vous utilisez les SMS pour l'authentification à deux facteurs sur Stripe, l'attaquant peut utiliser cette méthode pour obtenir vos codes de vérification, et ainsi accéder à votre compte.

Comment fonctionnent les cartes SIM ?

Une carte SIM est délivrée à chaque utilisateur de téléphone mobile et insérée dans son appareil pour l'identifier. En définitive, un numéro de téléphone correspond à une seule carte SIM. Récemment, les eSIM ont été introduites pour éliminer la carte physique. Elles fonctionnent de la même manière.

Votre opérateur de téléphonie mobile a la possibilité de changer la carte SIM vers laquelle pointe un numéro de téléphone. Cela vous permettra de conserver le même numéro de téléphone si vous perdez votre téléphone ou si la carte SIM est endommagée ou inutilisable. Cela signifie également que les employés de l'opérateur de téléphonie mobile ont le pouvoir d'effectuer ce changement.

En outre, dans de nombreux pays, la loi exige que les clients puissent changer librement d'opérateur de téléphonie mobile. Cela favorise une concurrence saine, mais signifie également que les opérateurs de téléphonie mobile ne procèdent qu'à une vérification minimale avant d'autoriser le transfert d'un numéro de téléphone vers un autre opérateur, lequel émet bien entendu une nouvelle carte SIM.

Comment fonctionne une usurpation de carte SIM ?

L'attaque peut se dérouler de différentes manières et aboutir au même résultat :

1. L’attaquant se fait passer pour vous et contacte votre opérateur de téléphonie mobile en lui disant que vous avez perdu votre téléphone. L'attaquant convainc l'opérateur de téléphonie mobile qu'il est vous et reçoit une carte SIM de remplacement.
2. L'attaquant se fait passer pour vous et contacte un autre opérateur de téléphonie mobile, en lui disant que vous souhaitez passer chez ce nouvel opérateur. Le nouvel opérateur demande à l'ancien de confirmer le portage et l'attaquant le convainc, ce qui amène le nouvel opérateur à délivrer une carte SIM.
3. Un employé de votre opérateur de téléphonie mobile est soudoyé dans le but de changer votre numéro de téléphone et l’orienter vers la carte SIM de l'attaquant.

Dans tous les cas, l’attaquant obtient une carte SIM qui reçoit des SMS et des appels téléphoniques à partir de votre numéro de téléphone, tandis que votre téléphone actuel cesse de fonctionner.

Comment puis-je me protéger contre les usurpations de carte SIM ?

En général, parce que des tiers peuvent être impliqués, il n'existe actuellement aucun moyen d'empêcher les usurpations de carte SIM. La seule manière de protéger votre compte Stripe des conséquences néfastes d’une telle attaque est de cesser d’utiliser les SMS pour l’authentification à deux facteurs.

Tant que l’option SMS pour l'authentification à deux facteurs est  activée, votre compte est menacé. Il est recommandé d'activer une autre méthode d'authentification à deux facteurs, telle qu’une application d'authentification ou une clé de sécurité matérielle, puis de désactiver l’option SMS.