Arnaque à la SIM: prévenir la menace

Publié le 11/09/2019 à 07:00

Arnaque à la SIM: prévenir la menace

Publié le 11/09/2019 à 07:00

Par Pascal Forget
arnaque SIM téléphone et ordinateur code de sécurité

(Photo: 123rf)

Fin août, Jack Dorsey a eu la mauvaise surprise de voir son compte Twitter piraté. Pendant une vingtaine de minutes, une série de messages racistes ont été publiés sur son fil. Le problème a été rapidement résolu: M. Dorsey est le PDG de Twitter, après tout.

«Se faire pirater un compte de média social, c’est terrible. Se faire pirater quand on est le PDG de l’entreprise, c’est pire», indique Victoria McIntosh, spécialiste en informations personnelles et en vie privée.

Pour prendre le contrôle du compte de M. Dorsey, une technique appelée arnaque à la carte SIM (SIM swapping) a été utilisée. Les fraudeurs ont réussi à tromper l’opérateur pour obtenir l’usage du numéro de téléphone de M. Dorsey, ce qui leur a permis de tweeter de son compte. La fonction qui permettait d’écrire directement à partir d’un message texte a depuis été désactivée.

Selon Mme McIntosh, un constat s’impose: «s’identifier avec un message texte dans son téléphone n’est plus sécuritaire. Les attaquants ont trouvé un maillon faible chez les opérateurs de téléphonie.»

L’accès au numéro de téléphone d’un patron, d’un professionnel ou d’un employé permettra de recevoir les codes nécessaires par messagerie texte pour se connecter aux comptes qui y sont associés.

Obtenir le contrôle d’un numéro de téléphone mobile est plus simple qu’on l’imagine. «Il suffit d’appeler un opérateur et dire qu’on a perdu son téléphone en se faisant passer pour quelqu’un d’autre, explique Mme McIntosh. Un employé pourrait aussi être tenté par une somme d’argent.»

Pas au Québec

Au Québec, il n’y aurait pas encore de raisons de s’inquiéter du phénomène. «Il n’y a pas encore de statistiques répertoriées pour les fraudes par carte SIM, mentionne Marie-Pier Lorrain, porte-parole pour la Sûreté du Québec. Mais il existe des méthodes plus sécuritaires que l’authentification par cellulaire, comme l’utilisation de codes uniques générés par une application comme Google Authenticator ou l’utilisation d’un périphérique externe».

Une clé pour s’identifier

Google a commencé à utiliser des clés physiques depuis 2014. Une fois leur utilisation généralisée dans l’entreprise, aucun vol de compte par hameçonnage n’a été à déplorer chez ses 85 000 employés.

«Nous croyons que c’est la meilleure façon de protéger un compte, affirme Christiaan Brand, gestionnaire de produits Titan chez Google. C’est d’ailleurs la seule méthode d’authentification 2 facteurs (2FA) que nous utilisons».

La grande innovation par rapport aux clés RSA, populaires à une époque, c’est qu’une clé ne contient pas seulement un code pour nous identifier, mais aussi une poignée de main numérique pour s’assurer qu’il ne puisse être transmis à un site d’hameçonnage. «La clé ne fait pas que nous identifier auprès d’un serveur; elle vérifie que c’est le bon serveur», dit M. Brand.

C’est d’ailleurs la méthode d’identification nécessaire pour s’enregistrer au Programme protection avancée de Google, conçu pour protéger les comptes des personnes à risque d’attaques ciblées, comme les chefs d’entreprise et les équipes de campagnes électorales.

La norme utilisée, Fido U2F (FIDO Universal 2nd Factor, sans lien avec l’opérateur de téléphone), est compatible avec plusieurs services, comme ceux de Google, Facebook et Twitter, mais aussi avec des applications de gestion de mots de passe comme 1Password et Lastpass.

Les clés ne demandent pas d’être rechargées ni d’installer un logiciel particulier. Deux clés Titan de Google, offertes au Canada depuis juillet, coûtent 65$; la compagnie Yubico en propose plusieurs modèles à partir d’une trentaine de dollars. Certains téléphones Google peuvent aussi être configurés pour offrir les mêmes fonctionnalités d’authentification.

Pas infaillible

Comme toutes les mesures de sécurité informatique, l’utilisation de clés physiques pour protéger son compte n’est pas infaillible. En cas de perte ou de vol de sa clé, retrouver l’accès à son compte personnel pourrait prendre quelques jours. On conseille d’ailleurs qu’au moins deux clés soient utilisées: une que l’on conserve sur soi, une autre que l’on garde en lieu sûr. Certains téléphones Android peuvent être configurés pour offrir le même niveau de sécurité.


image

Gestion du changement

Mardi 17 septembre


image

Gestion de l’innovation

Mercredi 18 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Gestion de la formation

Mardi 03 décembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Sommet énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Forum Contrats publics

Mardi 11 février

Sur le même sujet

Se préparer aux cyberattaques

lors que les cyberattaques se multiplient, songez-vous à doter votre entreprise d’une équipe ...

Le cryptage de données peut protéger des criminels

04/09/2018 | AFP

Les agences de renseignement de l’alliance « Five Eyes » demandent à avoir accès au contenu crypté par des criminels.

À la une

Bourse: Wall Street voit rouge, Toronto est à un sommet record

Mis à jour le 16/09/2019 | LesAffaires.com et AFP

REVUE DES MARCHÉS. Le Brent a bondi de 14,6 %, sa plus forte progression depuis que le contrat a été formalisé en 1988.

Titres en action: Aramco, Coca-Cola, Facebook...

16/09/2019 | AFP et La Presse Canadienne

Voici une sélection d'annonces qui ont fait (ou vont faire) bouger les cours de ces entreprises.

Les Bourses européennes reculent face aux tensions pétrolières

16/09/2019 | AFP

Les investisseurs ont «forcément été pris un petit peu de court sur le retour du risque géopolitique», dit une analyste.