Après des années d’inaction, la FCC a déclaré cette semaine qu’elle allait enfin protéger les consommateurs contre une arnaque qui prend le contrôle de leurs numéros de téléphone portable en trompant les employés qui travaillent pour les opérateurs de téléphonie mobile. Même si les commissaires se sont félicités de cette décision, il n’y a encore aucune raison de croire que cela mettra fin à une pratique trop courante au cours de la dernière décennie.
Ces escroqueries, connues sous le nom de « échange de carte SIM » et de « fraude au port-out », ont toutes deux le même objectif : arracher le contrôle d’un numéro de téléphone portable à son propriétaire légitime en trompant les employés de l’opérateur qui le dessert. L’échange de carte SIM se produit lorsque des escrocs se font passer pour quelqu’un d’autre et demandent que le numéro de la victime soit transféré sur une nouvelle carte SIM, généralement sous prétexte que la victime vient d’acquérir un nouveau téléphone. Dans les escroqueries liées au port-out, les escrocs font à peu près la même chose, sauf qu’ils incitent l’employé du transporteur à transférer le numéro cible vers un nouveau transporteur.
Ce type d’attaque existe depuis plus d’une décennie et est devenu plus courant dans le contexte de l’exubérance irrationnelle qui a fait grimper le prix du Bitcoin et d’autres crypto-monnaies. Les personnes stockant de grandes sommes de pièces numériques ont été des cibles fréquentes. Une fois que les escrocs prennent le contrôle d’un numéro de téléphone, ils déclenchent des réinitialisations de mot de passe qui fonctionnent en cliquant sur des liens envoyés dans des messages texte. Les escrocs drainent ensuite les crypto-monnaies et les comptes bancaires traditionnels.
La pratique est devenue si courante qu’une industrie entière de l’échange de cartes SIM en tant que service a vu le jour. Plus récemment, ces escroqueries ont été utilisées par des acteurs malveillants pour cibler et, dans certains cas, réussir à pirater des réseaux d’entreprise appartenant à certaines des plus grandes organisations du monde.
Les escrocs qui poursuivent ces escroqueries sont étonnamment experts dans l’art du jeu de la confiance. Lapsus$, un groupe menaçant composé principalement d’adolescents, a utilisé à plusieurs reprises les échanges de cartes SIM et d’autres formes d’ingénierie sociale avec un succès déconcertant. À partir de là, les membres utilisent les numéros réquisitionnés pour pénétrer dans d’autres cibles. Le mois dernier, Microsoft a dressé le profil d’un groupe jusqu’alors inconnu qui utilise régulièrement les échanges de cartes SIM pour piéger les entreprises fournissant des services de traitement des télécommunications mobiles.
L’une des clés du succès du groupe, surnommé « Octo Tempest » par Microsoft, réside dans ses recherches minutieuses qui permettent au groupe de se faire passer pour des victimes à un degré que la plupart des gens n’imagineraient jamais. Les attaquants peuvent imiter l’idiolecte distinctif de la cible. Ils maîtrisent parfaitement les procédures utilisées pour vérifier que les personnes sont bien celles qu’elles prétendent être. Il n’y a aucune raison de penser que les règles ne seront pas faciles à appliquer pour des groupes comme ceux-ci avec un minimum d’effort supplémentaire.
Des règles vagues
Cette semaine, la FCC a finalement annoncé qu’elle allait mettre un terme à l’échange de cartes SIM et à la fraude au port-out. Les nouvelles règles, a déclaré la commission, « obligent les fournisseurs de services sans fil à adopter des méthodes sécurisées d’authentification d’un client avant de rediriger le numéro de téléphone d’un client vers un nouvel appareil ou fournisseur. Les nouvelles règles exigent que les fournisseurs de services sans fil informent immédiatement leurs clients chaque fois qu’un changement de carte SIM ou une demande de portage est effectué sur les comptes des clients et qu’ils prennent des mesures supplémentaires pour protéger les clients contre l’échange de carte SIM et la fraude par portage.
Mais il n’existe aucune véritable indication sur ce que devraient être ces méthodes d’authentification sécurisées ou sur ce qui constitue une notification immédiate. Les règles de la FCC ont plutôt été rédigées pour donner explicitement « aux fournisseurs de services sans fil la flexibilité de fournir les mesures de protection contre la fraude les plus avancées et les plus appropriées disponibles ». À ce défi s’ajoute une multitude de transporteurs avec des employés mal payés et mal formés et des cultures imprégnées d’apathie et d’insouciance.
Rien de tout cela ne veut dire que la FCC ne créera pas de règles qui permettront de contrôler de manière significative une arnaque qui a atteint des proportions épidémiques. Cela signifie que le problème sera extrêmement difficile à résoudre.
Pour le moment, les échanges de cartes SIM et les escroqueries aux transferts sont une réalité, et il y a peu de raisons d’être optimiste quant au fait qu’une poignée d’exigences formulées de manière vague feront une différence. Pour l’instant, le mieux que vous puissiez faire est, dans la mesure du possible, de vous assurer que les comptes sont protégés par un code PIN ou un mot de passe verbal et de suivre ces précautions supplémentaires fournies par la Federal Trade Commission.