Arnaque à la SIM: prévenir la menace

Publié le 11/09/2019 à 07:00

Arnaque à la SIM: prévenir la menace

Publié le 11/09/2019 à 07:00

Par Pascal Forget
arnaque SIM téléphone et ordinateur code de sécurité

(Photo: 123rf)

Fin août, Jack Dorsey a eu la mauvaise surprise de voir son compte Twitter piraté. Pendant une vingtaine de minutes, une série de messages racistes ont été publiés sur son fil. Le problème a été rapidement résolu: M. Dorsey est le PDG de Twitter, après tout.

«Se faire pirater un compte de média social, c’est terrible. Se faire pirater quand on est le PDG de l’entreprise, c’est pire», indique Victoria McIntosh, spécialiste en informations personnelles et en vie privée.

Pour prendre le contrôle du compte de M. Dorsey, une technique appelée arnaque à la carte SIM (SIM swapping) a été utilisée. Les fraudeurs ont réussi à tromper l’opérateur pour obtenir l’usage du numéro de téléphone de M. Dorsey, ce qui leur a permis de tweeter de son compte. La fonction qui permettait d’écrire directement à partir d’un message texte a depuis été désactivée.

Selon Mme McIntosh, un constat s’impose: «s’identifier avec un message texte dans son téléphone n’est plus sécuritaire. Les attaquants ont trouvé un maillon faible chez les opérateurs de téléphonie.»

L’accès au numéro de téléphone d’un patron, d’un professionnel ou d’un employé permettra de recevoir les codes nécessaires par messagerie texte pour se connecter aux comptes qui y sont associés.

Obtenir le contrôle d’un numéro de téléphone mobile est plus simple qu’on l’imagine. «Il suffit d’appeler un opérateur et dire qu’on a perdu son téléphone en se faisant passer pour quelqu’un d’autre, explique Mme McIntosh. Un employé pourrait aussi être tenté par une somme d’argent.»

Pas au Québec

Au Québec, il n’y aurait pas encore de raisons de s’inquiéter du phénomène. «Il n’y a pas encore de statistiques répertoriées pour les fraudes par carte SIM, mentionne Marie-Pier Lorrain, porte-parole pour la Sûreté du Québec. Mais il existe des méthodes plus sécuritaires que l’authentification par cellulaire, comme l’utilisation de codes uniques générés par une application comme Google Authenticator ou l’utilisation d’un périphérique externe».

Une clé pour s’identifier

Google a commencé à utiliser des clés physiques depuis 2014. Une fois leur utilisation généralisée dans l’entreprise, aucun vol de compte par hameçonnage n’a été à déplorer chez ses 85 000 employés.

«Nous croyons que c’est la meilleure façon de protéger un compte, affirme Christiaan Brand, gestionnaire de produits Titan chez Google. C’est d’ailleurs la seule méthode d’authentification 2 facteurs (2FA) que nous utilisons».

La grande innovation par rapport aux clés RSA, populaires à une époque, c’est qu’une clé ne contient pas seulement un code pour nous identifier, mais aussi une poignée de main numérique pour s’assurer qu’il ne puisse être transmis à un site d’hameçonnage. «La clé ne fait pas que nous identifier auprès d’un serveur; elle vérifie que c’est le bon serveur», dit M. Brand.

C’est d’ailleurs la méthode d’identification nécessaire pour s’enregistrer au Programme protection avancée de Google, conçu pour protéger les comptes des personnes à risque d’attaques ciblées, comme les chefs d’entreprise et les équipes de campagnes électorales.

La norme utilisée, Fido U2F (FIDO Universal 2nd Factor, sans lien avec l’opérateur de téléphone), est compatible avec plusieurs services, comme ceux de Google, Facebook et Twitter, mais aussi avec des applications de gestion de mots de passe comme 1Password et Lastpass.

Les clés ne demandent pas d’être rechargées ni d’installer un logiciel particulier. Deux clés Titan de Google, offertes au Canada depuis juillet, coûtent 65$; la compagnie Yubico en propose plusieurs modèles à partir d’une trentaine de dollars. Certains téléphones Google peuvent aussi être configurés pour offrir les mêmes fonctionnalités d’authentification.

Pas infaillible

Comme toutes les mesures de sécurité informatique, l’utilisation de clés physiques pour protéger son compte n’est pas infaillible. En cas de perte ou de vol de sa clé, retrouver l’accès à son compte personnel pourrait prendre quelques jours. On conseille d’ailleurs qu’au moins deux clés soient utilisées: une que l’on conserve sur soi, une autre que l’on garde en lieu sûr. Certains téléphones Android peuvent être configurés pour offrir le même niveau de sécurité.

À la une

Compétitivité: Biden pourrait aider nos entreprises

18:00 | François Normand

ANALYSE. S'il est réélu, Biden veut porter le taux d'impôt des sociétés de 21 à 28%, alors qu'il est de 15% au Canada.

Et si les Américains changeaient d’avis?

14:32 | John Plassard

EXPERT INVITÉ. Environ 4 électeurs sur 10 âgés de 18 à 34 ans déclarent qu’ils pourraient changer leur vote.

L’inflation rebondit en mars aux États-Unis

Mis à jour à 13:47 | AFP

L’inflation est repartie à la hausse en mars aux États-Unis, à 2,7% sur un an contre 2,5% en février.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024