Les "cordonniers sont souvent les plus mal chaussés", cette maxime s'est encore révélée vraie avec le piratage du compte du PDG de Twitter himself, Jack Dorsey la semaine dernière.

Plusieurs messages racistes et antisémites ainsi qu'une menace d'attentat à la bombe ont été diffusés sur son compte, pour le plus grand étonnement de ses 4,2 millions de followers. Si ces messages sont restés une dizaine de minutes en ligne et sont désormais tous supprimés, ils posent questions quant à la sécurité des données personnelles sur la Toile.

Twitter a précisé par la suite que le numéro de portable de son PDG était tombé entre les mains d'un groupe de hackers. Les cyberpirates ont utilisé pour ce faire la plate-forme Cloudhopper, un service fourni par Twitter lui-même qui permet de twitter via SMS avec un numéro de téléphone reconnu par le réseau de micro-blogging.

Selon le magazine technologique Wired, le PDG de Twitter est la dernière victime d'une série d'attaques d'un groupe qui pirate des comptes Internet américains bien connus. Ils utilisent la technique du 'SIM swapping' ("transfert de carte SIM"). Cette hypothèse a été confirmée par Twitter. "Le compte est maintenant sécurisé, ont-ils dit. Le numéro de téléphone associé au compte a été compromis à cause d'une faille de sécurité du fournisseur mobile".

"Par-dessus tout, il faut oser ", déclare au Morgen Cedric De Vroey. N0B0T Ethical Hacking Team, une société composée de spécialistes du cyberpiratage qui teste la sécurité de sites internet.

"Le but d'un pirate informatique est presque toujours le même", explique le spécialiste au journal flamand : accéder à des comptes en ligne comme la boîte mail, Facebook, Instagram ou des applications bancaires. Nous savons depuis un certain temps qu'un seul mot de passe n'est pas suffisant pour empêcher les pirates de pénétrer dans un système. En raison de fuites de données importantes, un grand nombre de noms d'utilisateur et de mots de passe sont dévoilés. Ou plutôt: dans un coin sombre de l'internet. "

De Vroey préconise dès lors d'intégrer une deuxième couche de sécurité, "une authentification dite à deux facteurs", précise-t-il. "Vous voulez vous connecter en ligne, vous entrez votre mot de passe et un code à six chiffres vous est envoyé par SMS. Vous ne pouvez vous connecter qu'une fois que vous avez entré ce code. En d'autres termes : votre numéro de téléphone est la preuve que vous vous connectez et non un pirate."

Le SIM swapping

Pour effectuer un échange de carte SIM, un pirate obtient les données personnelles d'une cible, puis appelle son fournisseur d'abonnement téléphonique tout en prétendant être le véritable propriétaire du compte. Le cyberpirate doit alors convaincre l'opérateur de faire passer le numéro de téléphone de la victime sous son contrôle. La période de temps pendant laquelle la victime ne réalise pas que son numéro a été transféré peut être courte, mais ce délai peut suffire pour que le pirate contourne l'authentification à deux facteurs (2FA), intercepte les appels et les messages texte, réinitialise les mots de passe et compromette les comptes en ligne de la victime, des adresses e-mail aux portefeuilles en cryptomonnaies, détaille le site Zdnet.fr.

Pas étonnant que les pirates essaient d'intercepter ce code de vérification. "Il existe de nombreuses façons d'y parvenir ", explique de son côté au Morgen Jeroen Beckers, qui travaille pour la société de cybersécurité NVISO, spécialisée dans la sécurité mobile. "Soit tu voles le smartphone, mais ce n'est pas si simple. Soit tu essaies de transférer le numéro de téléphone sur une nouvelle carte SIM via l'opérateur télécom."

Les pirates informatiques appellent alors le service d'assistance des fournisseurs de télécommunications et tentent de convaincre le personnel du centre d'appels de transférer le numéro de téléphone sur une nouvelle carte SIM. Dès que cette action est réussie, les victimes elles-mêmes ne peuvent plus faire d'appels à partir de leur propre carte SIM. Aux États-Unis, les employés des fournisseurs sont même soudoyés pour quelques dizaines de dollars pour échanger certains numéros de carte SIM. Des milliers d'arnaques de ce type ont été recensées dans des pays où les paiements par téléphone mobile sont monnaie courante, comme le Brésil, le Mozambique, l'Inde ou l'Espagne.

Selon Fabio Assolini et Andre Tenreiro, des chercheurs de l'entreprise de cybersécurité Kaspersky, les systèmes de sécurité de nombreux opérateurs mobiles "sont insuffisants et rendent leurs clients vulnérables aux attaques à la carte SIM", surtout si les pirates parviennent à récupérer des dates de naissance et d'autres données similaires, peut-on lire sur le site d'Ouest France.

Authentification à deux facteurs

La motivation des hackers peut varier, ils le font soit contre rançon, soit pour réaliser des achats en ligne ou simplement pour s'amuser. Aux États-Unis, de nombreux influenceurs d'Instagram se plaignent que leur compte a été piraté via transfert de carte SIM. Avec comme conséquences la perte de leurs nombreux followers et de contrats avec des annonceurs.

Les pirates informatiques se concentrent également sur les profils de médias sociaux populaires. Un hacker a témoigné récemment sur RTL News aux Pays-Bas. Il a déclaré qu'il pouvait gagner des dizaines de milliers d'euros "simplement" en échangeant des cartes SIM. Sa cible : des comptes de cryptomonnaies qu'il a réussi à vider de leurs nombreux bitcoins.

Faut-il s'inquiéter de cette nouvelle vague de cyber piratage en Belgique ? Il n'est pas si facile de faire transférer un numéro de portable. Comme l'explique De Morgen, les fournisseurs belges ont intégré une sécurité supplémentaire pour rendre les requêtes malveillantes aussi difficiles que possible. Si un utilisateur souhaite transférer son numéro de téléphone sur une nouvelle carte SIM chez Telenet ou Proximus, il devra toujours présenter sa carte d'identité dans le magasin. Chez Telenet, un tel transfert est possible en ligne, mais les clients doivent pouvoir fournir leur numéro de client et leur mot de passe à partir de l'interface 'Mon Telenet'. Plusieurs fournisseurs ont informé De Morgen qu'ils ne reçoivent aucune plainte concernant l'échange de cartes SIM.

Le Centre pour la cybersécurité en Belgique (CCB) et la police fédérale confirment qu'ils n'ont pas encore reçu de telles plaintes non plus. "Je conseille à tout le monde de sécuriser chaque compte en ligne avec une authentification à deux facteurs, même si c'est avec un numéro de téléphone mobile ", conseille Katrien Eggers du CCB.

Et pour ceux qui préfèrent ne pas dévoiler leur numéro de portable en ligne, il existe des alternatives. "Prenez, par exemple, le Google Authenticator, recommande Jeroen Beckers. "Il n'utilise pas de numéro de téléphone, mais se base sur un certain nombre de données spécifiques à votre appareil pour confirmer que c'est vous - et personne d'autre - qui souhaitez vous connecter".