Arnaque à la carte SIM : le patron de Twitter victime « de prestige »

Écrit par Guillaume
Publié le : {{ dayjs(1568563256*1000).local().format("L").toString()}}
Suivez-nous

S’il n’a pas duré bien longtemps, le piratage du compte Twitter de Jack Dorsey, patron de la plateforme, est embarrassant pour lui bien sûr, mais aussi pour tous les systèmes de protection sur le Net.

Il y a quelques jours, le compte Twitter du patron de la plateforme, Jack Dorsey, a été piraté. Le ou les importuns responsables du forfait ont ainsi utilisé le compte numéro de Twitter pour publier des insultes racistes et des messages faisant l’apologie d’Adolphe Hitler. L’affaire n’a pas duré bien longtemps : après seulement une vingtaine de minutes, tous les tweets en question avaient été supprimés et la propriété du compte effectivement rendue à Jack Dorsey. Mais l’affaire soulève un problème d’importance : en s’attaquant ainsi au patron de la plateforme, le ou les pirates ont mis en lumière les faiblesses d’un système de protection pourtant vanté par de nombreux professionnels.

En effet, Jack Dorsey utilise sur son compte Twitter le système dit d’authentification à double facteur qui s’appuie sur la carte SIM du propriétaire du compte. Le principe utilisé par les pirates est désarmant – et inquiétant – de simplicité, on appelle cela le SIM swap ou transfert de SIM. Un escroc se fait passer pour le propriétaire d’un numéro de téléphone qui cherche à en récupérer l’usage après une mauvaise manipulation quelconque. Cela peut se faire au travers de données personnelles récupérées par divers moyens pour attester de sa pseudo identité ou, plus « brutalement », en soudoyant les employés de l’entreprise téléphonique.

Le transfert de SIM effectué, il n’y a alors plus rien de compliqué : le pirate peut alors profiter du système d’authentification à double facteur pour recevoir, via un simple SMS, le mot de passe de l’utilisateur ou, la réinitialisation dudit mot de passe. L’arnaque peut ensuite prendre diverses formes et l’envoie de tweets insultants n’est finalement pas le pire puisque dans certains cas, on parle de réaliser des paiements via le smartphone. Problème, si de nombreux experts en sécurité comme Ori Eisen – cité par Capital et fondateur de Trusona, une entreprise de cybersécurité spécialisée dans l’authentification sans mot de passe – estiment qu’il faut impérativement trouver « des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »… les réponses se font attendre !