Rejoignez-Nous sur

L'essor de l'échange de cartes SIM: comment et pourquoi les Bitcoiners doivent se protéger

How to Avoid Getting SIM Swapped 1200x630 cropped

News

L'essor de l'échange de cartes SIM: comment et pourquoi les Bitcoiners doivent se protéger

L'utilisation d'un numéro de téléphone pour l'authentification d'identité est une mauvaise pratique de sécurité opérationnelle. Remettre le bitcoin à un tiers comme un échange de crypto-monnaie ou un service de prêt réduit également la sécurité – «pas vos clés, pas vos pièces» est une recommandation de sécurité souvent partagée sur Twitter et la podosphère Bitcoin.

Exemple: pendant la majeure partie de la dernière décennie, la combinaison de ces deux pratiques a donné lieu à un nombre croissant d'attaques d'échange de cartes SIM se terminant par le vol de bitcoins et d'autres crypto-monnaies.

Un échange de carte SIM est un moyen peu technique et peu coûteux pour les attaquants de prendre le contrôle du compte de téléphone sans fil d'une victime. Pour réussir une attaque, un pirate informatique doit savoir comment les opérateurs de téléphonie mobile sans fil authentifient l'identité et une partie des informations sur leur victime. Souvent, cela ne nécessite que le numéro de téléphone d'une victime.

Maintenant, il existe des preuves sans équivoque que la majorité des personnes aux États-Unis qui ont des comptes de numéro de téléphone avec des opérateurs sans fil sont vulnérables aux échanges de cartes SIM. Si vous détenez du bitcoin que vous ne voulez pas perdre, ce fait peut être encore plus pénible.

L'essor de l'échange de cartes SIM

Ce potentiel accru d'échange de cartes SIM a été prouvé dans un étude empirique publié en janvier 2020 par un groupe conjoint de professeurs et d'un doctorat. étudiants du département d'informatique de l'Université de Harvard et du Center for Information Technology Policy de l'Université de Princeton.

"L'attaquant appelle votre opérateur, fait semblant d'être vous et demande de transférer le service vers une nouvelle carte SIM – celle que l'attaquant contrôle", a écrit Arvind Narayanan, professeur agrégé à Princeton et l'un des auteurs de l'article, dans un addition via Twitter. "C'est déjà assez grave, mais des centaines de sites Web utilisent SMS pour l'authentification à 2 facteurs, ce qui met vos comptes en danger."

L'étude a testé le protocole d'authentification de cinq principaux opérateurs sans fil américains – AT&T, T-Mobile, Tracfone, US Mobile et Verizon. Après avoir tenté un échange de carte SIM sur 10 comptes prépayés différents pour chaque opérateur, les auteurs ont constaté que les cinq opérateurs utilisaient des méthodes d'authentification jugées non sécurisées.

«Ensemble, ces résultats aident à expliquer pourquoi les échanges de cartes SIM ont été un problème si persistant», a déclaré Narayanan.

Encore plus troublant, les échanges de cartes SIM sont un problème tel que Narayanan a admis que la carte SIM de son téléphone avait été échangée pendant la recherche. Lorsqu'il a appelé pour signaler la fraude, le service client de son opérateur n'a pas pu le vérifier même après avoir vérifié son agresseur. Narayanan a fini par reprendre le contrôle de son compte sans fil en appliquant ses recherches pour tirer parti de la vulnérabilité du protocole de son opérateur.

Heureusement que Narayanan l'a fait rapidement. Une fois qu'un attaquant prend le contrôle du compte sans fil d'une victime, il dispose de nombreuses options pour faire des ravages. Comme indiqué dans l'étude, cela est dû en grande partie aux méthodes d'authentification non sécurisées définies par les utilisateurs pour accéder aux actifs numériques en ligne tels que les SMS ou les appels 2FA (ceux-ci ne sont pas sécurisés une fois qu'un attaquant a accès à votre compte sans fil) et aux questions de sécurité impliquant des informations publiques facilement récupérables telles que le nom de jeune fille d'une mère. En outre, l'étude a également trouvé 17 sites Web sur lesquels les comptes d'utilisateurs peuvent être compromis en se basant uniquement sur un échange de carte SIM (la base de cette méthode provenait du twofactorauth.org base de données). Peu de temps après la publication de l’étude, T-Mobile a informé les auteurs qu’après l’avoir examinée, elle avait cessé d’utiliser des «numéros récents» pour l’authentification des clients.

Cibler le Bitcoin via des échanges de cartes SIM

Les échanges de cartes SIM existent depuis des années. De nombreuses cibles d'échange de cartes SIM appartiennent à l'une des catégories suivantes, si ce n'est les deux: une célébrité avec un compte de médias sociaux précieux tel que PDG de Twitter, Jack Dorsey, ou quelqu'un qui possède une quantité raisonnable de crypto-monnaie. Plusieurs propriétaires de crypto-monnaie étaient SIM échangé l'année dernière au plus fort de la course de taureaux du bitcoin.

En décembre 2019, la journaliste et podcasteur de crypto-monnaie Laura Shin a publié un épisode de podcast sur sa propre expérience en tant que victime récente d'un échange de carte SIM. Shin n'a pas été volée, mais son expérience est remarquable en ce qu'elle a révélé que, bien qu'elle ait déjà couvert le sujet en 2016 et sécurisé activement ses comptes des années auparavant, elle était toujours vulnérable.

En fin de compte, ce qui rend les propriétaires de bitcoin plus attrayants que les autres clients des opérateurs de téléphonie mobile, c'est le fait que les transactions bitcoin sont enregistrées sur la blockchain afin qu'elles ne puissent pas être inversées. Contrairement aux comptes sans fil, le bitcoin volé est beaucoup plus difficile à saisir pour les autorités (bien qu'il puisse être traçable via analyse de la blockchain).

De plus, contrairement à la plupart des comptes bancaires en ligne, seule une poignée d'échanges de crypto-monnaie tels que Coinbase, Gemini, ItBit et Binance.US sont sécurisés par l'assurance FDIC, qui assure les dépôts dans les banques membres jusqu'à 250 000 $. Lorsque l'on considère la valeur du bitcoin comme un actif décentralisé et immuable, cela est parfaitement logique. Mais cela signifie également que la sécurité ne doit jamais être considérée comme acquise.

Roues de justice

Les propriétaires de crypto-monnaie haut de gamme comme Michael Terpin, un entrepreneur et investisseur qui a cofondé le premier fonds providentiel pour les amateurs de Bitcoin, le fonds Bitangels, ne connaissent que trop ce principe.

"Les roues de la justice se brisent lentement", a déclaré Terpin dans une interview à Magazine Bitcoin.

La justice dans le cas de Terpin est empêtrée dans une poursuite en cours de 224 millions de dollars contre AT&T qu'il a déposée en août 2018. Deux fois, un groupe organisé de pirates a échangé des cartes SIM connectées aux comptes T-Mobile et AT&T de Terpin. Selon lui, la première fois, un groupe d'attaquants «a trompé des gens dans deux magasins à Boston à moins d'une heure l'un de l'autre pour renoncer à mes informations d'identification pour les deux comptes».

Suite à ces échanges, les pirates ont attrapé un peu plus de la moitié d'un bitcoin dans un compte d'échange que Terpin a ouvert «lorsque le bitcoin était d'environ 100 $».

Après ce premier échange de carte SIM, Terpin a demandé à ses deux opérateurs plus de sécurité. Il s'est avéré que AT&T et T-Mobile offraient chacun des «options de protection plus avancées». Mais l'option de vérification en magasin de «aucun port» de T-Mobile et l'ajout par AT&T d'un code PIN de compte à six chiffres se sont avérées inutiles lorsque, comme Terpin a allégué qu'en janvier 2018, un employé de 19 ans dans un magasin de détail AT&T du New Jersey a renoncé au mot de passe de Terpin en échange d'un pot-de-vin de 100 $.

En retour, le groupe d'attaquants est reparti avec 24 millions de dollars en altcoins.

"C'est vrai", a déclaré Terpin, "la seule chose qu'ils pouvaient obtenir étaient des" shitcoins ", mais ils se sont avérés être de très grande valeur ce jour-là."

Contrairement au bitcoin, les altcoins volés de Terpin (TRIG, SKY et STEEM) n'avaient pas d'options de sauvegarde de clé privée de portefeuille matériel disponibles.

Même si le dernier échange de carte SIM de Terpin a eu lieu il y a plus de deux ans, il a déclaré qu'il était contacté chaque semaine par une nouvelle victime d'un échange de carte SIM cherchant de l'aide. S'ils sont en état, il les montre à son équipe juridique et à la Californie Groupe de travail REACT.

Lil ’Swappers

Terpin est également impliqué dans une poursuite civile contre Nicholas Truglia, un résident de New York âgé de 21 ans, accusé d'avoir volé 24 millions de dollars grâce à des échanges de cartes SIM. Truglia a été initialement accusé d'avoir volé 1 million de dollars en crypto-monnaie à un cadre de la Silicon Valley et créateur de StopSIMCrime.org, Ross White.

Terpin allégué ces éléments de preuve lors de l’audience de cautionnement pour autre fraude de SIM de Truglia – un fichier de sauvegarde iCloud – indiquent que Truglia pourrait également être l’échangeur de SIM derrière son attaque de 24 millions de dollars. Le même jour de l'attaque de Terpin, Truglia a envoyé des messages à sa famille et à ses amis indiquant qu'il avait volé plus de 20 millions de dollars de crypto-monnaie dans un portefeuille, l'avait converti en bitcoin et que sa vie avait changé pour toujours. Bien que les enquêtes soient restées silencieuses, Terpin a allégué que Truglia était un membre d'un groupe d'échange de SIM décentralisé de 26 personnes.

Associer le dossier de Truglia à plusieurs autres arrestations, accusations et peines pour des échangeurs de cartes SIM volant des crypto-monnaies, le journaliste d'investigation Brian Krebs a disposé des représentations détaillées de ces personnages. Selon Krebs, ils sont tous des hommes et âgés de moins de 25 ans.

En janvier 2020, un rapport a émergé accusant Samy Bensaci, un résident canadien de 18 ans, d'avoir échangé sans succès la carte SIM de Don Tapscott, chef du Blockchain Research Group. Cette histoire a lié de nombreuses cibles d'échange de cartes SIM dans la communauté des crypto-monnaies à leur participation à la conférence annuelle Consensus tenue à New York. Il a également corroboré le rapport Krebs, connectant le vol de crypto-monnaie d'échange de SIM aux utilisateurs d'un forum en ligne appelé OGUsers.com.

«Je pense que tout le monde est toujours pris au dépourvu par l'adoption de nouvelles technologies par la jeune génération», a déclaré Matt Odell, un expert en Bitcoin et en confidentialité contribuant à de nombreux projets tels que la co-hébergement du podcast «Tales From the Crypt».

Comme pour l'adoption massive elle-même, il semble que le vol de Bitcoin et l'échange de cartes SIM connexe soit un phénomène initié par une génération plus jeune pour exploiter les victimes d'un système plus primitif.

Choisir la sécurité plutôt que la commodité

"Les lois créées autour de cette technologie sont toujours loin derrière", a déclaré Tyler Moffitt, analyste de sécurité chez Webroot, faisant référence au scénario particulièrement dangereux que les propriétaires de bitcoins se retrouvent grâce à leurs opérateurs sans fil. "Je ne peux pas voir (des lois plus strictes sur la protection des consommateurs des opérateurs) se produire dans les cinq prochaines années, et à ce moment-là, les pirates auront fait un joli sou du vol de crypto-monnaie basé sur l'échange de cartes SIM."

Moffitt fait partie des nombreuses personnes qui pensent que lorsqu'il s'agit de soupeser la commodité et la sécurité, les gens pencheront toujours vers la commodité. C'est exactement ainsi que les comptes des opérateurs sans fil et la société américaine dans son ensemble ont été conçus.

Mais des voix plus fortes commencent à s'exprimer. Le 9 janvier 2020, un lettre signé par six législateurs américains a été envoyé à Ajit Pai, le président de la Federal Communications Commission (FCC), qui a précédemment été l'avocat général de Verizon. Plaidant pour une protection accrue contre la fraude par échange de cartes SIM pour les clients sans fil, la lettre fait référence à une déclaration des enquêteurs du groupe de travail REACT sur les dommages totaux liés aux échanges de cartes SIM: «Ils connaissent plus de 3 000 victimes de swaps de cartes SIM, représentant 70 millions de dollars de pertes dans tout le pays », lit-on dans la lettre.

Cette lettre aborde également la question de allégations alléguées que le piratage de swap SIM est devenu plus sophistiqué. Les attaquants piratent désormais directement les ordinateurs des opérateurs sans fil en incitant ou en contraignant les employés de vente au détail à exécuter des logiciels malveillants sous la forme de protocoles de bureau à distance sur leurs ordinateurs, en plus de la corruption pure et simple.

«Avez-vous vu des informations faisant état de violations… impliquant le piratage de réseaux sans fil, y compris des ordinateurs dans les magasins de détail et ceux utilisés par les agents du service client?

Poussant la question un peu plus loin, les législateurs et les auteurs de cette lettre ont reconnu que les échanges de cartes SIM constituent une menace très réelle pour la sécurité nationale. C'est selon l'affirmation que de nombreux employés des agences gouvernementales utilisent différents niveaux de 2FA. Dans cette hypothèse, un groupe organisé de pirates informatiques ou d'acteurs de l'État-nation pourrait accéder aux comptes de messagerie électronique des agents publics, puis exploiter cet accès de plusieurs manières paralysantes, telles que l'émission d'une fausse alerte d'urgence à partir de l'alerte et de l'alerte de la Federal Emergency Management Agency système.

Terpin a envoyé une lettre similaire à la FCC à l'automne 2019 avec une demande plus spécifique.

«Je recommande à la FCC de faire en sorte que tous les transporteurs américains couvrent leurs mots de passe», a-t-il écrit.

Il s'agit de la principale défaillance de sécurité des opérateurs sans fil – contrairement aux banques, aux compagnies aériennes et aux hôtels, où l'accès au compte est «réussite» ou «échec» basé sur un mot de passe ou non, les mots de passe des comptes sans fil sont disponibles pour les employés de l'opérateur. Principalement, c'est pour plus de commodité lorsqu'un client casse ou perd son téléphone, puis a désespérément besoin de revenir pour retourner dans notre monde axé sur les mobiles. Cependant, cette vulnérabilité de sécurité de base semble bien pire étant donné que de nombreux magasins de transporteurs, même ceux portant les noms des plus grands transporteurs, sont en fait des franchises détenues et exploitées par des tiers.

"Ce ne sont pas seulement les employés d'une entreprise de télécommunications", a déclaré Guido Appenzeller, chef de produit chez Yubico, une société de sécurité matérielle connue pour avoir inventé la YubiKey. «Chaque employé de détail tiers peut accéder à ces bases de données.»

Ajouté au fait que le salaire horaire minimum pour un travailleur d'un transporteur de détail tiers ne dépasse pas 10 $ l'heure dans certains endroits, il devient clair pourquoi un travailleur du commerce de détail pourrait être incité à divulguer un millier de mots de passe de compte à 100 $ a pop.

Vous protéger contre l'échange de carte SIM devrait faire partie du Bitcoin

Il existe un fil conducteur dans la culture Bitcoin qui a sans doute été intégré dans son code dès le départ – acquérir une véritable liberté signifie assumer un nouveau niveau de responsabilité personnelle, financière et technologique. La confidentialité et la sécurité opérationnelle ne sont pas différentes et, souvent, elles ne sont pas sacrifiées pour des raisons de commodité, mais pour le profit grâce à des activités telles que le commerce et les prêts. Dans l'ensemble, avoir plus à perdre est la meilleure motivation pour une meilleure sécurité Bitcoin, mais il est important de ne pas être victime de vol en supposant que vos bagages ne sont pas assez grands.

Cette rupture avec la convention est l'une des raisons pour lesquelles les opérateurs sans fil n'optimisent pas pour les utilisateurs de Bitcoin. La plupart des gens ne seront pas ciblés pour un échange de carte SIM, mais, selon Appenzeller, si quelqu'un a «dit plus de 10 000 $ dans un portefeuille Bitcoin, l'échange de carte SIM devient certainement économiquement attrayant pour les pirates».

Il existe également des exemples d'attaques de logiciels malveillants plus sophistiquées et facilement disponibles qui contournent la 2FA basée sur les applications sans nécessiter un échange de carte SIM. Il s'agit notamment de l'utilisation de sites Web de phishing imposteur, comme celui utilisé dans le dernier Binance pirater, ainsi que les détournements ou empoisonnements DNS les plus sinistres, généralement utilisés par les acteurs des États-nations pour espionner, tels que opération tortue de mer.

La bonne nouvelle est qu'il existe des technologies de protection contre les échanges de cartes SIM et les attaques de phishing plus sophistiquées. La méthode 2FA la plus puissante disponible sur le marché grand public est U2F, ou authentification à deux facteurs à l'aide d'une clé USB. L'utilisation de U2F supprime les attaques basées sur la carte SIM comme un risque, ainsi que «les attaques de phishing et autres attaques de l'homme du milieu et autres attaques de logiciels malveillants», selon Appenzeller.

Son entreprise, Yubico, a créé U2F avec Google et l'a depuis utilisé dans son produit phare, le YubiKey. De cette façon, la YubiKey est l'équivalent du portefeuille matériel de 2FA, et à ce jour, aucun de ses utilisateurs n'est tombé en proie à un vol lié au swap SIM.

Comment éviter un échange de carte SIM

Pour cet article, nous avons discuté avec plusieurs experts en sécurité et membres de la communauté Bitcoin. Sur la base de ces informations, voici une liste des choses à faire et à ne pas faire pour éviter une attaque par échange de carte SIM:

Pour les utilisateurs Bitcoin débutants et moyens

Gardez le bitcoin dans un portefeuille matériel et arrêtez d'utiliser 2FA basé sur le téléphone.

«Sécurisez vos clés privées avec des périphériques matériels et multisig. N'utilisez pas de portefeuilles basés sur un navigateur car ils ont d'énormes surfaces d'attaque. Utilisez 2FA basé sur le matériel pour toute application Web qui le prend en charge. N'utilisez pas SMS 2FA et ne permettez pas aux comptes en ligne d'être réinitialisés / récupérés via un numéro de téléphone. »

– Jameson Lopp, ingénieur Bitcoin Core

Si vous n'effectuez pas de transactions avec le bitcoin, ne le conservez pas sur un échange. Voir cette liste des échanges qui ont perdu l'argent de leurs clients à cause des piratages et autres activités néfastes.

Discutez du renforcement de la sécurité avec votre opérateur téléphonique et utilisez des authentificateurs basés sur des applications.

«Vous pouvez demander plus de sécurité avec votre opérateur téléphonique. Vous ne devez pas utiliser d'authentificateurs SMS. Utilisez des applications d'authentification comme Google Authenticator ou Authy. "

—Tyler Moffit

Pour tous ceux qui ont partagé leur identité avec leur compte de téléphone sans fil (la plupart d'entre nous)

Revoyez les politiques de sécurité de votre opérateur sans fil et d'autres comptes en ligne. Vous pouvez tester cela en essayant de pirater vos propres comptes. Twofactorauth.org est un bon point de départ.

«Je pense qu'à long terme, la vraie question est pourquoi utilisons-nous toujours des numéros de téléphone? Le moyen le plus simple de vérifier si vous êtes en sécurité est d'essayer d'accéder à tous vos comptes avec votre numéro de téléphone, si vous le pouvez, vous avez une vulnérabilité de swap SIM. "

– Matt Odell

Pour ceux qui pensent que leur Bitcoin est sûr avec un portefeuille matériel seul

Utilisez un gestionnaire de mots de passe en combinaison avec votre ou vos portefeuilles Bitcoin. Testez régulièrement votre procédure, même si c'est simple.

«J'utilise un gestionnaire de mots de passe, c'est une excellente pratique. Tous ceux avec qui je travaille utilisent un gestionnaire de mots de passe. »- Guido Appenzeller

«En ce qui concerne la gestion des mots de passe / clés, j'utilise un gestionnaire de mots de passe solide avec plusieurs sauvegardes USB chiffrées. Au moins un loin de la maison (et) un à la maison. J'apporte toujours une copie lorsque je voyage, fais des tests occasionnels et un aperçu de la configuration avec ma femme et un autre frère. (La) majeure partie de (mon) empilement sat (est) sur des portefeuilles matériels, puis des montants modérés dans un portefeuille Bitcoin Core que j'utilise pour financer toutes mes Casa, applications mobiles, Lightning, clients bêta, etc. »

– Guy Swann, animateur du podcast Cryptoconomy

Pour le plus haut niveau de sécurité, convivial pour les consommateurs

Obtenez au moins une YubiKey, ils sont relativement peu coûteux.

"Achetez plusieurs YubiKeys (pour redondance) et utilisez-les pour 2FA dans la mesure du possible. De nombreux gestionnaires de mots de passe prennent en charge YubiKey 2FA tandis que de nombreuses applications Web prennent désormais en charge U2F 2FA, que les YubiKeys plus récentes prennent également en charge. Si une application Web prend uniquement en charge les codes glissants TOTP, vous pouvez toujours sécuriser ces données sur une YubiKey en utilisant l'application d'authentification Yubico. "

– Jameson Lopp

Pour éviter des attaques plus sophistiquées

Mettez en signet les pages Web des comptes sensibles.

"Le piratage de Binance est un bon exemple de cas où l'application 2FA peut échouer. Dans ce cas, ils recherchent Binance dans Google et sélectionnent la première page Web, qui dans ce cas était un faux site Web qui a été poussé en haut de la recherche Google par le biais de payants promotion pendant une journée. Vous devez mettre en signet des pages Web sensibles que les pirates pourraient essayer de truquer. "

—Tyler Moffitt

Pour améliorer proactivement votre OPSEC

Définissez une alerte Google pour «SIM Swap» ou «pirate» et «affaire judiciaire».

«En tant que civil, il est difficile de considérer l'OPSEC comme quelque chose d'important pour les autres citoyens (respectueux des lois). Bon nombre des meilleurs exemples d'OPSEC dans le monde réel – bons OPSEC et mauvais OPSEC – sont souvent tirés de documents judiciaires qui détaillent une organisation criminelle. D'autres bons exemples viennent souvent des secteurs du renseignement ou de l'armée et semblent rarement applicables. »

– @ 5auth, cryptomarket et chercheur du marché sombre.

Pour encore plus d'informations sur la façon de sécuriser votre bitcoin contre les attaques par échange de carte SIM et que faire si une vous arrive, consultez le SIM Swapping Bible. Les attaques, l'échange de cartes SIM ou autre, ont tendance à se produire lorsque le bitcoin est en fuite.





Traduction de l’article de David Hollerith : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Top
mattis felis massa mi, leo. nec id,