SIM Swap: comment se protéger de la fraude à la carte SIM
Le clonage d'une carte SIM ou en anglais le "SIM swap", "SIM Swapping" ou "SIM hijacking" est un phénomène qui prend de l’ampleur. Par cette technique, une personne malveillante peut voler notre identité. Il y a cependant moyen de protéger notre carte SIM et notre téléphone intelligent contre cette technique.
De nos jours, on a tous un téléphone cellulaire ou un téléphone intelligent. Que ce soit pour notre vie personnelle ou professionnelle, on peut difficilement s'en passer.
Ces appareils sont littéralement des petits ordinateurs ce qui fait en sorte qu'il existe une multitude de dangers. On peut penser aux applications malveillantes, aux virus ou aux messages d'hameçonnage notamment.
Il existe aussi une menace sournoise qu'est la fraude à la carte SIM et qui peut provoquer le vol de notre identité.
Comment se protéger du "SIM Swap"?
Qu'est-ce qu'on peut faire avec une carte SIM?
Commençons par rappeler ce qu'est une carte SIM. Une carte SIM (Subscriber Identity Module) est la petite puce que nous donne notre fournisseur de télécommunication et qu'on insère dans le téléphone. Elle sert principalement à:
- Identifier l'utilisateur auprès du réseau mobile: Elle contient des informations uniques, comme un numéro d'identité (IMSI), permettant de connecter le téléphone à un réseau spécifique (Bell, Telus, Rogers, etc.).
- Permettre l'accès aux services mobiles: Grâce à la carte SIM, on peut passer des appels, envoyer des textos et utiliser des données mobiles.
- Stocker des données essentielles : Elle peut contenir des informations comme des contacts, des messages texte et d'autres paramètres réseau.
En bref, la carte SIM est la clé qui connecte notre téléphone au réseau mobile de notre fournisseur.
Qu’est-ce que le clonage de carte SIM?
Depuis quelques années le phénomène du clonage de carte SIM est une forme de fraude qui a pris de l’ampleur sous les noms de "SIM Swap", "SIM Swapping" et "SIM Hijacking".
Cette technique permet à des criminels d’usurper notre identité en s'appropriant notre carte SIM.
Elle peut envoyer et recevoir des appels et textos avec notre numéro de téléphone. Elle peut aussi voler nos accès d’identifiants sur nos différents comptes si on utilise la double authentification.
La double authentification, pour rappel, c'est lorsqu'on reçoit un code unique via texto ou courriel après avoir entré notre mot de passe quand on tente de se connecter à un compte en ligne.
On comprendra que cette personne peut faire beaucoup de dommage avec tous ces accès en main.
Comment peut-on être victime de "SIM Swapping"?
Pour parvenir à effectuer cette fraude, les pirates doivent duper notre fournisseur de télécommunication en se faisant passer pour nous.
C'est à ce moment qu'ils peuvent demander à faire transférer notre numéro de téléphone sur une nouvelle carte SIM en leur possession.
Pour duper notre fournisseur, les criminels ont besoin de collecter des informations personnelles à nos dépens. Pour obtenir ces informations, ils peuvent procéder de différentes manières:
- En exploitant une faille de sécurité sur un site web ou une application;
- En envoyant des courriels ou des SMS frauduleux (hameçonnage);
- En nous contactant par téléphone ou par courriel en se faisant passer pour notre opérateur, banque, fournisseur d'accès à internet ou tout autre service légitime, et en demandant de confirmer ou de fournir des informations personnelles;
- En collectant des informations sur les réseaux sociaux;
- En achetant des données volées ou qui ont fuité sur le dark web.
Quels sont les signes d'une fraude de carte SIM?
Les signes d’une fraude de carte SIM (SIM swapping) sont souvent subtils au début, mais peuvent rapidement avoir des conséquences graves. Voici les principaux indicateurs:
- Perte soudaine de réseau mobile: On perd le signal. Des messages comme «Aucun service» ou «Carte SIM non reconnue» s'affichent.
- Notifications suspectes de notre opérateur: On reçoit un courriel ou un texto de notre fournisseur confirmant un changement de carte SIM ou une modification de notre compte que nous n’avons pas autorisé.
- Appels ou textos inhabituels: Nos proches reçoivent des appels ou des textos inhabituels provenant de notre numéro.
- Activités inhabituelles sur nos comptes: On remarque des tentatives de connexion suspectes ou des transactions non autorisées sur nos comptes bancaires ou autres services en ligne.
Quoi faire si on est victime d'une fraude de carte SIM?
Si on remarque un des signes mentionnés plus haut, on doit alors rapidement contacter notre fournisseur de télécommunication pour qu'il puisse bloquer notre carte SIM et notre compte.
On a aussi intérêt à aller changer nos mots de passe sur les comptes qui ont potentiellement été compromis.
Comment se protéger du "SIM Swap"?
En sachant comment la fraude s'exécute, on peut mettre en place des mesures de sécurité afin de se protéger.
Ces mesures vont être:
- Verrouiller sa carte SIM;
- Se munir d'une eSIM;
- Utiliser une application de double authentification;
- Reconnaître les messages d'hameçonnage;
- Reconnaître les tentatives d'ingénierie sociale;
- Protéger nos données sur les réseaux publics;
- Limiter l'accès à notre compte Facebook;
- Faire supprimer nos données chez les courtiers de données;
Pourquoi verrouiller sa carte SIM avec un NIP?
L’une des techniques que l’on peut facilement appliquer pour nous protéger du vol d’identité via le clonage de carte SIM est d’y ajouter un NIP pour la verrouiller.
Une procédure largement conseillée par des experts informatiques tels que Sophie Letellier de chez Crypto Québec.
En verrouillant notre carte SIM nous nous assurons de protéger nos informations, alors qu’une personne qui tenterait de la cloner se verrait obliger d’entrer le NIP de sécurité que l’on a ajouté.
Par défaut, les fournisseurs ne nous obligent pas à la verrouiller. Il y a néanmoins un code par défaut sur notre carte SIM qui dans la grande majorité des cas se trouve à être: 0000, 1234 ou 1111.
Ce n’est pas une blague et vous verrez que c’est certainement le cas pour votre carte SIM aussi!
En effet, pour ajouter un NIP et verrouiller notre carte SIM, notre appareil va nous demander d’entrer le code de l’opérateur et pour l’avoir testé sur un appareil de Rogers et Vidéotron, le code était bel et bien 1234. Des lecteurs chez Bell nous ont dit avoir 1111 comme code.
Cependant, ce code varie d'un fournisseur à un autre et il est SUPER IMPORTANT après une tentative infructueuse d'appeler son fournisseur pour obtenir son code. Sinon après 3 tentatives infructueuses, vous devrez entre un code d'authentification PUK que seul votre fournisseur peut vous acheminer. Si vous vous acharnez (plus de 9 fois) à y entrer un code infructueux, votre carte SIM sera littéralement inutilisable et vous devrez en demander une nouvelle.
Comment ajouter un NIP pour verrouiller sa carte SIM sur iPhone
Voici les étapes qu’il faut suivre pour ajouter un NIP de sécurité à sa carte SIM et la verrouiller sur iPhone:
- Ouvrir l’application Réglages
- Sélectionner l’option: Réseau cellulaire
- Appuyer sur: NIP carte SIM
- Activer la fonction: NIP carte SIM
- Entrer le code d’identification par défaut (souvent 1234 ou 1111 ou...)
- Appuyer sur: Modifier le code NIP
- Entrer le code par défaut
- Sélectionner votre nouveau NIP
Assurez-vous de prendre un code que vous pourrez retenir cependant, puisque lorsqu'on redémarre notre appareil ce code nous est demandé.
Comment ajouter un NIP pour verrouiller sa carte SIM sur Android
Sur un appareil Android, la terminologie peut varier d’un appareil à un autre selon la marque de notre téléphone. L’onglet Sécurité pourrait avoir un autre nom comme c’est le cas sur Samsung par exemple où c’est: Sécurité et biométrie.
Voici les étapes qu’il faut suivre pour ajouter un NIP de sécurité à sa carte SIM et la verrouiller sur Android:
- Ouvrir l’application Paramètres
- Sélectionner l’option: Sécurité
- Appuyer sur: Plus de paramètres de sécurité
- Appuyer sur: Verrouillage de carte SIM
- Activer la fonction: Verrouiller la carte SIM
- Entrer le code d’identification par défaut (souvent 1234 ou 1111 ou ...)
- Appuyer sur: Modifier le NIP de la carte SIM
- Entrer encore le code d’identification par défaut (souvent 1234 ou 1111 ou ...)
- Sélectionner votre nouveau NIP à deux reprises
Assurez-vous de prendre un code que vous pourrez retenir cependant, puisque lorsqu'on redémarre notre appareil ce code nous est demandé.
Comment bloquer une carte SIM à distance?
La seule façon de bloquer une carte SIM à distance est en contactant notre fournisseur de télécommunication.
Se munir d'une eSIM
Sur de plus en plus de téléphones intelligents, il est possible d'utiliser une eSim plutôt qu'une carte SIM.
Une eSIM est une puce qui se trouve déjà dans notre téléphone à laquelle on peut la lier à notre fournisseur de télécommunication.
Si notre téléphone est compatible et que notre fournisseur offre le service, ça peut être intéressant de l'utiliser.
L'eSIM peut offrir une meilleure protection contre le "SIM swapping", mais ce n’est pas une solution infaillible pour autant.
D'une part, comme ce n'est pas une carte physique, on ne peut pas se la faire voler.
Ensuite, avec l’eSIM, les demandes de transfert nécessitent souvent un accès direct à notre compte ou à notre appareil, ce qui complique la fraude.
Mais dans tous les cas, les fraudeurs vont chercher à duper notre opérateur pour procéder à la fraude, donc il faut quand même prendre d'autres précautions.
Utiliser une application de double authentification
La double authentification (2FA) est une redoutable barrière pour empêcher des fraudeurs d'accéder à nos comptes et nos renseignements personnels.
Cependant, recevoir les codes par textos ou adresses électroniques est loin d'être idéal.
On a tout intérêt à utiliser une application d'authentification à double facteur.
Ces applications de 2FA vont générer les fameux codes d'accès, mais ceux-ci changent toutes les 30 secondes.
Reconnaître les messages d'hameçonnage
Il n'y a pas que la fraude du "Sim swap" qui peut être générée par des liens suspects dans des messages d'hameçonnage. Plusieurs autres fraudes partent de ce procédé.
Il est donc primordial de savoir reconnaître les messages d'hameçonnage pour ne pas tomber dans le panneau.
On devrait également toujours se munir d'une suite de protection non seulement pour empêcher les logiciels malveillants, mais aussi pour nous aider à détecter ces messages frauduleux.
Nos choix d'antivirus et suites de protection
Reconnaître les tentatives d'ingénierie sociale
L'escroquerie par hameçonnage est une des techniques de l'ingénierie sociale, mais il existe d'autres tactiques pour tenter d'extirper nos renseignements personnels.
On a tout intérêt à se faire une idée des tactiques d'ingénierie sociale pour éviter de se faire piéger.
Protéger nos données sur les réseaux publics
Si on a l'habitude de se connecter sur des réseaux WiFi publics, on s'expose à ce que nos données et informations personnelles soient interceptées par un criminel connecté sur le même réseau.
En se munissant d'un bon VPN, on va pouvoir empêcher ceux-ci de mettre la main sur nos renseignements.
Limiter l'accès à notre compte Facebook
Plus on se repend sur les médias sociaux, plus on donne de viande aux escrocs. Ces derniers peuvent utiliser ces informations pour concocter leurs fraudes.
Sans surprise, le réseau le plus prisé pour collecter des renseignements personnels est Facebook.
Heureusement, il y a des trucs simples pour protéger notre compte Facebook et nos informations.
Faire supprimer nos données chez les courtiers de données
Enfin, si on veut réduire les chances d'être victime de la fraude du "SIM Swap" on peut également envisager de faire supprimer nos données chez les courtiers de données.
En effet, il y a des compagnies qui ont pour tâche de collecter le plus de données possible, pour ensuite les revendre à des compagnies ou des annonceurs.
En utilisant une solution comme Incogni qui s'affaire à exiger la suppression de nos données, on limite les chances d'être victime de SIM Swap puisque les fraudeurs ont moins de données sur nous.
