Le PDG de Twitter souligne les dangers de la fraude par "échange de carte SIM"

Malgré de nombreuses précautions de sécurité, le chef de la direction de Twitter, Jack Dorsey, a été victime d’un compromis embarrassant lorsque des assaillants ont pris le contrôle de son compte sur la plateforme en détournant son numéro de téléphone.

Dorsey est devenu la dernière cible de la fraude dite "d'échange de cartes SIM" qui permet à un fraudeur de tromper un opérateur de téléphonie mobile en lui transférant un numéro, ce qui pourrait entraîner la perte de contrôle non seulement des médias sociaux, mais également des comptes bancaires et autres informations sensibles.

Ce type d'attaque cible une faiblesse de "l'authentification à deux facteurs" via un message texte pour valider l'accès à un compte, qui est devenu une méthode de rodage populaire ces dernières années.

Twitter a annoncé vendredi que le compte avait été rétabli après un bref délai pendant lequel les assaillants avaient posté une série de tweets offensants.

Mais Ori Eisen, fondateur de la société de sécurité Trusona, basée en Arizona, spécialisée dans l'authentification sans mots de passe, a déclaré que la solution rapide ne devrait pas être considérée comme une réponse au vaste problème de la fraude par échange de carte SIM.

"Le problème n'est pas résolu", a déclaré Eisen, soulignant que ce type d'attaque avait été utilisé pour s'emparer d'autres comptes de médias sociaux de haut niveau et pour divers types de fraudes.

Eisen a expliqué que le nombre de personnes attaquées de cette manière n'est pas clair, mais que la technologie automatisée peut créer des milliards d'appels qui poussent les gens à donner des informations ou des mots de passe.

Changer de téléphone ou fraude?

Certains analystes affirment que les pirates informatiques ont trouvé des moyens d'obtenir facilement suffisamment d'informations pour qu'un opérateur de télécommunication puisse transférer un numéro sur le compte d'un fraudeur, en particulier après le piratage de bases de données volumineuses ayant entraîné la vente de données à caractère personnel sur le "dark web".

"Les SMS des comptes mobiles peuvent être piratés par des techniques matérielles sophistiquées, mais également par une ingénierie sociale: convaincre un fournisseur de téléphonie mobile de migrer votre compte sur un autre téléphone non autorisé", a déclaré R. David Edelman, un ancien de la Maison Blanche. conseiller qui dirige un centre de recherche sur la cybersécurité au Massachusetts Institute of Technology.

"Cela ne prend que quelques minutes de confusion pour faire le mal comme Dorsey l'a expérimenté."

Des milliers de ces attaques ont été signalées dans des pays où les paiements mobiles sont courants, notamment au Brésil, au Mozambique, en Inde et en Espagne.

Selon des chercheurs de la société de sécurité Kaspersky, les systèmes de sécurité de nombreux opérateurs de téléphonie mobile "sont faibles et laissent les clients ouverts aux attaques par échange de cartes SIM", en particulier si les attaquants sont en mesure de recueillir des informations telles que les dates de naissance et autres.

Dans un blog récent, les chercheurs de Kaspersky, Fabio Assolini et Andre Tenreiro, ont déclaré que certains cas venaient de cybercriminels payant des employés corrompus de transporteurs mobiles, pour seulement 10 à 15 dollars par victime.

"L'intérêt pour de telles attaques est tellement grand chez les cybercriminels que certains d'entre eux ont décidé de le vendre comme service à d'autres", ont écrit les chercheurs.

Au Brésil, certains criminels ont repris les comptes WhatsApp des victimes, s'en servant pour demander à leurs amis un "paiement urgent", ont écrit Assolini et Tenreiro.

«Mûr» pour la fraude

"C'est une avenue assez mûre pour la fraude", a déclaré Joseph Hall, technologue au Center for Democracy & Technology à Washington.

Hall a déclaré que certains opérateurs utilisent l'intelligence artificielle pour séparer les pièces de remplacement légitimes de la carte SIM de la fraude, mais que cela n'a pas été déployé universellement.

"Je reprocherais aux opérateurs de ne pas disposer de moyens plus robustes pour authentifier les utilisateurs", a-t-il ajouté, tout en appelant Twitter pour offrir de meilleures garanties.

Un faux tweet du président ou d'une autre personne influente pourrait avoir des "conséquences dévastatrices", telles qu'une chute des marchés financiers, a déclaré Hall.

"Ce genre de chose devient difficile à contrer, car même après que l'information ait été révélée comme étant un canular, les gens pourraient ne pas le croire", a-t-il déclaré.

L'affaire Dorsey, a déclaré Hall, souligne la nécessité de meilleures formes d'authentification, en particulier pour les grandes plates-formes en ligne telles que Facebook et Twitter où les messages peuvent avoir un impact.

Cela pourrait impliquer une clé physique qui se connecte à un appareil ou à un système logiciel tel que Google Authenticator, a noté Hall.

Eisen a déclaré que, paradoxalement, la demande de mots de passe plus longs et plus complexes a conduit à une utilisation accrue des messages texte non sécurisés pour l'authentification.

"Les praticiens de la sécurité doivent accepter le fait que ce qui fonctionnait auparavant ne fonctionne pas maintenant", a-t-il déclaré.

"Nous devons rechercher des solutions qui ne sont pas aussi facilement exploitées par les méchants et que les gens puissent facilement adopter."

© 2019 AFP