Comme leur nom l'indique, ces deux termes désignent des attaques ciblant les cartes SIM, que ce soit celle de votre téléphone, de votre imprimante au bureau ou de l'ascenseur de votre immeuble.
SIM swapping (ou échange de carte #SIM).
Le but de l'acteur malveillant est de duper l'opérateur mobile pour transférer votre numéro de téléphone vers une nouvelle carte SIM qu'il contrôle.
Pour y parvenir, il utilise généralement :
👉 Des informations personnelles obtenues via l'ingénierie sociale, le #phishing, ou des fuites de données
👉 La manipulation d'employés de l'opérateur téléphonique
👉 La corruption d'employés dans certains cas extrêmes
Cela lui permet d'intercepter les SMS et les appels, permettant ainsi de contourner l'authentification à deux facteurs (si celui-ci repose sur l'envoi d'un SMS).
SIM Jacking
Le but cette fois-ci est d'exploiter des failles dans les cartes SIM elles-mêmes (ex. : Simjacker, qui utilise des messages SMS spéciaux pour exécuter du code malveillant).
Y-a-til d'autres types d'attaques ?
On peut regrouper ces autres attaques sous la bannière du SIM Jacking. On peut citer :
Simjacker
Exploitation d'une vulnérabilité des cartes SIM utilisant le S@T Browser, un logiciel obsolète encore présent sur certaines cartes.
WIBattack
Similaire à Simjacker, mais cible le WIB (Wireless Internet Browser), un autre logiciel intégré à certaines cartes SIM.
OTA (Over-The-Air) Attacks
Exploite les protocoles de mise à jour à distance des cartes SIM utilisés par les opérateurs.
Clonage de carte SIM
Cela consiste à dupliquer une carte SIM en extrayant la clé Ki et le numéro IMSI. Mais c'est un contournement qui est beaucoup plus difficile avec les cartes modernes.
Attaques via les QR codes eSIM
Ce n'est pas une attaque qui vise directement la carte SIM mais par effet de bord, avec l’essor des #eSIMs, l'attaquant peut détourner le QR Code utilisé pour activer ces cartes numériques. C'est ce qui s'est passé, non pas pour activer sur eSim mais une carte de crédit (https://www.linkedin.com/feed/update/urn:li:activity:7310933394224283648/?actorCompanyId=93096743)
Comment s'en protéger ?
Avant même parler de protection il convient d'adopter les bons principes.
➡️ Ne pas associer son numéro de téléphone comme moyen de vérification et encore moins de 2eme facteur d’authentification pour des domaines sensibles (banque, santé, impôts,...).
➡️ Ensuite, de manière plus générale, utilisez des méthodes d'authentification 2FA qui ne reposent pas sur les SMS (applications d'authentification, clés de sécurité)
➡️ Soyez vigilant face aux tentatives de phishing
➡️ Réagissez immédiatement si votre téléphone perd soudainement le réseau sans raison apparente.
➡️ Ensuite, de manière plus générale, utilisez des méthodes d'authentification 2FA qui ne reposent pas sur les SMS (applications d'authentification, clés de sécurité)
➡️ Soyez vigilant face aux tentatives de phishing
➡️ Réagissez immédiatement si votre téléphone perd soudainement le réseau sans raison apparente.