Les escroqueries liées à l'échange de cartes SIM constituent un gros problème aux États-Unis, et la FCC se prépare enfin à les combattre en proposant de nouvelles règles.
Les attaques par échange de carte SIM et la fraude par portage sont des problèmes majeurs, avec des incidents qui se produisent presque quotidiennement aux États-Unis. Aujourd'hui, la FCC intervient.
Les voleurs exploitent les services clients des opérateurs pour réquisitionner la ligne de téléphonie mobile d'une personne sans jamais avoir accès physiquement au téléphone d'origine. Cela permet à l'attaquant d'accéder aux codes d'authentification à deux facteurs par SMS d'une personne qui peuvent être utilisés pour accéder à tout, du compte de messagerie d'une victime à ses comptes de crypto-monnaie.
Le processus est connu sous le nom d'« attaque par échange de carte SIM » et consiste à contacter l'opérateur de la victime pour lancer un transfert de numéro de téléphone vers une carte SIM que le voleur a en sa possession. En cas de succès, le téléphone du véritable propriétaire perdra immédiatement le service et le voleur aura accès à tous les appels et SMS envoyés à son numéro. Le voleur agit ensuite rapidement, combinant souvent des données provenant de diverses violations de données, pour accéder aux comptes de la victime et les vider de leurs fonds.
Une méthode similaire, appelée « attaque de port-out », fonctionne essentiellement de la même manière qu'un échange de carte SIM. Cette attaque déplace le numéro de la victime vers un autre opérateur, sur une ligne appartenant au voleur.
La FCC annoncé aujourd'hui que des propositions sont en cours d'élaboration pour créer de nouvelles règles entourant le processus d'échange de cartes SIM. La commission aurait reçu de nombreuses plaintes de victimes de ces attaques. Les règles chercheront à obliger les opérateurs à authentifier de manière sécurisée l'identité d'un client avant d'autoriser les transferts de numéro vers un nouvel appareil ou opérateur.
T-Mobile en particulier a eu beaucoupincidents de Attaques par échange de carte SIM, sans parler de la violation majeure des données de retour en août. AT&T a plaintes similaires. Verizon semble être le moins affecté par le problème, nécessitant une confirmation directe du titulaire du compte avant d'autoriser l'activation d'un échange de carte SIM.
Pour l'instant, il est fortement recommandé d'utiliser une clé de sécurité ou une authentification à deux facteurs basée sur une application et d'éviter autant que possible le 2FA basé sur SMS. Espérons que les nouvelles règles créées par la commission contribueront à éviter les piratages de comptes à l’avenir.