Gare aux pirates de cartes SIM

L’entreprise en question, 7032935 Canada, dont l’actionnaire principal est Andrew Lakemaker, est notamment associée au site de jouets sexuels HotGVibe.com, au compte Twitter/Porn et à l’agence Adux Media, spécialisée dans la « génération de haut volume de trafic internet ». On réclame près d’un demi-million à Fido, l’accusant de négligence, à la suite d’une fraude survenue à l’automne 2017 qui a ralenti pendant des semaines les activités de l’entreprise.

En deux temps

La méthode utilisée est d’une simplicité désarmante, peut-on lire dans la poursuite. Le 25 octobre, un fraudeur a réussi à obtenir une carte SIM de remplacement, prétendument pour le téléphone de M. Lakemaker. Ce petit rectangle de plastique et de métal, qu’on insère dans l’appareil, contient les informations permettant de se connecter à un réseau cellulaire, notamment le numéro de téléphone associé à un client. Le fraudeur a contacté le service à la clientèle de Fido en se faisant lui-même passer pour un employé qui tentait d’aider M. Lakemaker. La conversation a été enregistrée, et la retranscription fournie par Fido et déposée en preuve pour la poursuite. Une fois la carte SIM obtenue et installée sur un autre téléphone, le fraudeur a pu demander une réinitialisation des mots de passe de plusieurs comptes liés à l’entreprise et à son patron, soit Twitter, Yahoo, Gmail, Hotmail et Skype.

Cette procédure est possible quand on utilise une authentification dite « à deux facteurs », pour laquelle un code est envoyé par SMS.

« L’entreprise et les affaires personnelles des plaignants ont été complètement paralysées et leurs employés ont passé des semaines à réduire les dommages et reprendre le contrôle », peut-on lire dans la poursuite.

Compte Twitter acheté

L’effet le plus dommageable pour l’entreprise de M. Lakemaker, selon le document, concerne le compte « Twitter/Porn ». Il avait 193 090 abonnés le 25 octobre ; il a été démantelé par les fraudeurs jusqu’à descendre à 4610 abonnés deux jours plus tard. Il en comptait 16 500 hier.

Détail intrigant, on apprend par ailleurs que ce compte Twitter, sur lequel l’entreprise misait manifestement beaucoup, avait été acheté en 2017. On avait alors payé quelque 7500 $ à un certain Paul Veenendaal pour le compte et ses 5000 abonnés.

M. Lakemaker et l’entreprise 7032935 Canada réclament à Fido et à son propriétaire, Rogers Communications, 321 283 $ pour la perte de leurs abonnés Twitter. On demande en outre 30 000 $ pour dommages moraux et 150 000 $ en dommages punitifs.

Il a été impossible de parler à un représentant de l’entreprise montréalaise. Du côté de chez Rogers, on a préféré ne pas commenter le dossier, puisqu’il est devant les tribunaux.

Pas de statistiques

La méthode utilisée, appelée « SIM swap » ou « SIM hijacking » aux États-Unis, a fait les manchettes l’été dernier. Plusieurs comptes Instagram très populaires avaient été piratés avec cette méthode, et une victime qui avait perdu 30 millions de dollars en bitcoins avait déposé une poursuite totalisant 289 millions contre le fournisseur AT&T.

On ignore l’ampleur de ce phénomène au Canada. Tant à la Sûreté du Québec qu’au Centre antifraude du Canada, on ne dispose d’aucune statistique à ce sujet. La poursuite déposée contre Fido constituerait, selon différentes sources, un premier exemple de « SIM swap » au pays.

Ce n’était qu’une question de temps, estime Jean Loup Le Roux, expert en cybersécurité et fondateur d’I&I Strategy.

« C’est un classique, mais son exécution demande d’exploiter certaines failles dans les processus de service client des opérateurs, ou des complicités internes. Même des experts du domaine de la sécurité sont tombés avec cette fraude. »

— Jean Loup Le Roux

L’aspect troublant de cette méthode est qu’elle vise ceux qui ont fait un effort particulier pour rendre leurs comptes plus sécuritaires, en utilisant l’authentification à deux facteurs. Pour pirater un tel compte, il ne suffit plus d’avoir seulement le mot de passe, mais il faut également avoir le numéro de téléphone ou l’adresse courriel qui y sont associés.

« Avec la vérification par SMS, tu fais confiance à ton fournisseur téléphonique, relève M. Le Roux. S’il se fait défoncer, tu tombes toi aussi. »

Même si la méthode semble nouvelle, son succès repose sur la même faille que des dizaines d’autres, soit l’humain, estime Marc-André Léger, chargé de cours à l’Université Concordia, spécialiste en technologie de l’information. 

« C’est ce qu’on appelle de l’ingénierie sociale. Et ça aurait pu arriver à n’importe quel fournisseur, à mon avis. »

Authentificateur

Cette méthode est un cran plus sécuritaire que l’utilisation du SMS. Il s’agit en résumé d’une application qui génère une clé secrète réservée à votre téléphone ou à votre ordinateur. Cette clé va générer des mots de passe uniques, même en mode avion. « Ça réduit à zéro ta vulnérabilité envers ton fournisseur », estime l’expert en cybersécurité Jean Loup Le Roux.

Jetons de sécurité

Il s’agit de la Cadillac des méthodes d’authentification, celle que l’on conseille à ceux qui exigent la plus haute norme de sécurité. Les jetons de sécurité (« security tokens ») sont de petits objets, de la taille d’une clé USB, qui confirment votre identité. On peut les insérer dans l’appareil, et les modèles les plus récents émettent des ondes radio NFC, lisibles par la plupart des téléphones.

Deux facteurs

Eh oui, malgré la fraude par carte SIM, il vaut mieux utiliser l’authentification à deux facteurs. Parce que la solution de rechange, soit de pouvoir entrer dans un compte avec seulement un mot de passe, est encore plus risquée, estime l’expert en cybersécurité Jean Loup Le Roux. « Le défi, c’est d’être un peu plus solide que la moyenne. Si vous avez un troupeau de moutons et que l’un d’eux boite, devinez lequel le loup va bouffer… »