Les attaques par échange de cartes SIM exploitent le processus de transfert de numéros de téléphone entre les opérateurs mobiles et les cartes SIM (Subscriber Identity Modules, modules portant l'identité de l'abonné), pour rediriger les SMS destinés aux victimes vers les appareils des hackers. Si vous utilisez l'authentification à deux facteurs par SMS sur Stripe, un hacker pourra utiliser cette méthode pour obtenir vos codes de vérification et, par conséquent, l'accès à votre compte.

Comment fonctionnent les cartes SIM ?

Une carte SIM est émise et insérée dans chaque téléphone mobile afin de permettre d'identifier son propriétaire. Chaque numéro de téléphone est associé à une seule carte SIM. Récemment, des cartes SIM numériques (eSIM) ont été introduites en remplacement des cartes SIM physiques. Elles fonctionnent du reste de la même manière.

Votre opérateur mobile peut changer la carte SIM associée à un numéro de téléphone, ce qui est notamment nécessaire si vous souhaitez conserver votre numéro lorsque vous perdez votre téléphone ou si votre carte SIM n'est plus fonctionnelle. Par conséquent, les employés des opérateurs mobiles sont en mesure d'effectuer ce changement.

En outre, dans de nombreux pays, la loi requiert que les consommateurs puissent conserver leur numéro lorsqu'ils changent d'opérateur. Si cette pratique favorise une concurrence saine sur le marché, elle a également des effets négatifs. En effet, les opérateurs ne procèdent généralement qu'à des vérifications minimales avant d'autoriser le portage d'un numéro vers un autre opérateur, qui émet à son tour une nouvelle carte SIM sans contrôle.

Comment fonctionnent les attaques par échange de cartes SIM ?

Ces attaques peuvent être perpétrées de différentes manières, mais aboutissent toujours au même résultat.

1. Le hacker usurpe votre identité et contacte votre opérateur mobile pour lui dire que vous avez perdu votre téléphone. Après avoir convaincu l'opérateur, le hacker obtient une carte SIM de remplacement.
2. Le hacker usurpe votre identité et contacte un opérateur mobile autre que le vôtre pour lui dire que vous souhaitez souscrire ses services. Le nouvel opérateur contacte votre ancien opérateur pour confirmer le portage. Grâce à sa parade, le hacker obtient une carte SIM de remplacement.
3. Un employé de votre opérateur mobile est corrompu par un hacker et transfert votre numéro de téléphone sur sa carte SIM.

Le hacker obtient une carte SIM sur laquelle arrivent systématiquement vos SMS et vos appels tandis que votre téléphone ne les reçoit plus.

Puis-je me protéger des attaques par échange de cartes SIM ?

En règle générale, en raison des tierces parties impliquées, il n'existe aucun moyen de prévenir les attaques par échange de cartes SIM. La seule façon de vous protéger de leurs éventuelles répercussions et de ne plus employer l'authentification à deux facteurs par SMS.

Votre compte sera vulnérable tant qu'elle restera activée. Nous vous conseillons de configurer une autre méthode, par exemple une application d'authentification ou une clé de sécurité matérielle, et de désactiver les SMS.