Le scandale du piratage et de la fuite de données de Ledger, ayant été rendu public vers la fin de l’année 2020, a massivement impacté les clients de l’entreprise. Au total, près de 272 000 commandes de hardware wallet ont fait l’objet d’une fuite en ligne, rendant publics les adresses et numéros de téléphone des clients.

Nous avons évoqué les bonnes attitudes à adopter afin de réagir efficacement à la fuite de données subie par Ledger dans un précédent article, mais les pirates informatiques ne cessent d’innover et de trouver de nouvelles manières d’utiliser les données divulguées à leur avantage. Parmi les nouvelles attaques, la plus importante est l’arnaque à la carte SIM.

Vous trouverez ci-dessous plus de détails sur cette arnaque à la carte SIM et les bons gestes à adopter afin de vous en protéger.

Qu’est-ce que l’arnaque à la carte SIM ?sim-card-and-mobile-phone

L’arnaque à la carte SIM est également connue sous différents noms :

  • Partage de carte SIM
  • SIMjacking
  • Détournement de carte SIM 
  • Escroquerie de port-out

Cette arnaque consiste en la prise de contrôle de votre numéro de téléphone par un tiers en utilisant une carte SIM qui lui appartient. Pour ce faire, l’escroc doit recueillir le plus d’informations personnelles possible à votre sujet, ce qui explique pourquoi la fuite de données de Ledger est susceptible de provoquer une recrudescence de cette arnaque.

Une fois que l’escroc dispose de suffisamment d’informations, il usurpe votre identité et appelle votre opérateur téléphonique afin de demander une nouvelle carte SIM ou de l’aide pour changer de téléphone. Si l’escroc parvient à obtenir une nouvelle carte SIM en votre nom, l’ensemble des SMS et des appels téléphoniques reçus sur votre téléphone seront redirigés vers lui.

Les e-mails de phishing, les logiciels malveillants et l’espionnage des médias sociaux constituent également des moyens privilégiés par lesquels les cybercriminels recueillent des données pouvant être utilisées pour répondre à certaines questions de sécurité.

En contrôlant votre numéro de téléphone, les fraudeurs peuvent entrer en contact avec des institutions, telles que votre banque, en se faisant passer pour vous. Ils peuvent également contourner des processus de vérification en deux étapes qui nécessitent un numéro de téléphone afin de réinitialiser vos mots de passe.

Comment cette arnaque fonctionne-t-elle ?

Dans des circonstances normales, réunir l’ensemble des informations personnelles permettant de convaincre votre opérateur téléphonique de vous envoyer une nouvelle carte SIM peut s’avérer compliqué pour les escrocs. Toutefois, ces derniers savent se montrer très persévérants.

Afin d’obtenir suffisamment de données sur vous, un escroc harcèle généralement un représentant du service clientèle de votre opérateur téléphonique jusqu’à ce qu’il parvienne à recueillir des bribes d’informations. Il ne lui reste alors qu’à raccrocher, rappeler et répéter le processus jusqu’à ce qu’il ait suffisamment d’informations sur vous pour convaincre votre opérateur téléphonique que vous êtes à l’origine de l’appel.

L’arnaque à la carte SIM fonctionne également lorsque le cybercriminel prétend travailler pour l’un des magasins appartenant au fournisseur de téléphonie mobile. Il agira alors comme si vous étiez un client du magasin et indiquera que les systèmes informatiques ne fonctionnent pas correctement. Les escrocs mentionneront que vous commencez à vous impatienter et demanderont au représentant au téléphone de débloquer votre compte.

Influencer les représentants du service clientèle en jouant sur leur sympathie et leur empathie donne d’excellents résultats. Même sans disposer d’un logiciel spécialisé, un hacker en ingénierie sociale peut facilement créer un scénario efficace qui encourage le représentant du service clientèle à se montrer très coopératif. Le journaliste Kevin Roose a découvert cette technique à DEFCON, lorsqu’un pirate informatique social a convaincu son opérateur téléphonique de lui donner son adresse e-mail et de changer ses mots de passe en seulement quelques minutes.

Les conséquences de l’arnaque à la carte SIMcryptocurrency-bitcoin

Invitée sur la chaîne YouTube d’Andreas Antonopoulos, Taylor Monahan a évoqué les problèmes qu’elle a rencontrés concernant l’arnaque à la carte SIM. La fondatrice de MyCrypto a découvert que les représentants du service clientèle recevaient une courte formation sur cette arnaque, mais que de nombreux aspects étaient oubliés.

Certains représentants sont convaincus que la pire chose pouvant arriver est qu’un nouvel iPhone soit facturé sur le compte d’une personne innocente, et que l’argent perdu soit remboursé.

Suite au piratage et à la fuite de données subis par Ledger, les escrocs peuvent supposer que de nombreuses personnes figurant dans la base de données possèdent également un compte chez l’un des principaux échanges de crypto-monnaies. Après avoir réussi une arnaque à la carte SIM, les fraudeurs peuvent facilement trouver un moyen d’accéder au compte d’échange d’une personne pour effectuer des transactions non autorisées. En cas de fuite d’adresses physiques, les escrocs peuvent déterminer le fuseau horaire de la victime et effectuer leur cyberattaque pendant que la victime dort.

Si votre compte bancaire est également relié à la plateforme d’échange, les fraudeurs peuvent utiliser votre argent pour acheter d’autres crypto-monnaies, ce qui a pour effet de vider vos comptes de change et bancaire. Ils peuvent enfin pirater votre profil bancaire en ligne et se transférer directement votre argent.

Il convient toutefois de rappeler que les escrocs ne peuvent pas prendre d’argent directement dans votre portefeuille de crypto-monnaies. Malgré le piratage de Ledger, les crypto-monnaies présentes sur votre compte peuvent uniquement être dérobées si vous donnez aux escrocs un moyen d’agir, par exemple en partageant votre phrase de récupération de 24 mots.

Comment se protéger contre une arnaque à la carte SIMmobile-phone-protection

Les conseils suivants s’adressent principalement à toutes les personnes touchées par la fuite de données de Ledger, mais concernent également l’ensemble des individus. Vous pouvez vous protéger contre l’arnaque à la carte SIM en :

Protégeant votre adresse e-mail principale

Les fournisseurs de messagerie électronique offrent aux utilisateurs divers moyens de récupérer l’accès à leur compte en cas de verrouillage. Cependant, plus vous utilisez de méthodes de vérification, plus vous vous rendez vulnérable. En effet, une fois sur votre compte, un pirate ne mettra pas longtemps à découvrir votre numéro de téléphone.

Afin d’assurer au maximum la sécurité de votre adresse e-mail, nous vous recommandons de :

  • Ne pas ajouter votre numéro de téléphone portable à votre adresse e-mail comme méthode de récupération
  • Créer un mot de passe fort et unique que vous n’utiliserez pour aucun autre service
  • D’envisager d’utiliser un service de gestion des mots de passe
  • D’utiliser une yubikey pour les services comme deuxième facteur d’authentification lorsque cela est possible
  • De demander à votre opérateur téléphonique d’ajouter un mot de passe supplémentaire afin établir un contact téléphonique avec vous en cas d’appel au service clientèle
  • Si vous utilisez un compte Gmail, de suivre les conseils du programme de protection avancée de Google.

Passant de la vérification à deux facteurs par SMS à d’autres méthodes

Les services de protection tels que Google Authenticator fonctionnent sur la base d’un algorithme de mot de passe unique. Vous recevrez un code QR contenant une clé d’accès au compte sur lequel vous vous êtes connecté.

Comme mentionné précédemment, vous pouvez également utiliser une yubikey afin d’ajouter une couche de protection supplémentaire.

Votre numéro de téléphone portable

Pour les personnes touchées par la fuite de données de Ledger, il n’est pas obligatoirement nécessaire de changer de numéro de téléphone. Vous devez toutefois supprimer ce numéro de tout service en lien avec la crypto-monnaie. Cela inclut donc vos comptes de plateforme d’’échange et votre adresse e-mail.

Si vous vous inscrivez à un service qui exige un numéro de téléphone portable, vous pouvez utiliser un numéro « jetable » proposé par quacker.io afin d’éviter de donner vos informations personnelles.

Que faire si vous êtes victime ?

La fuite de données subie par Ledger a eu de graves répercussions pour de nombreux clients, qu’ils aient subi ou non une arnaque à la carte SIM. Si vous avez subi une perte financière à la suite de la fuite de données de Ledger, Naray Law dispose d’excellentes compétences pour vous aider.

Si vous avez besoin de conseils ou d’une représentation juridique, n’hésitez pas à nous contacter. J’exerce en qualité d’avocat spécialisé dans les crypto-monnaies depuis de nombreuses années, et j’ai notamment aidé et accompagné Steve Wozniak (cofondateur d’Apple) à poursuivre YouTube en justice.

Si vous désirez rester informés des dernières nouvelles sur le piratage de Ledger et recevoir des conseils, assurez-vous de rejoindre le groupe Telegram de Naray Law dédié à la fuite de données de Ledger.