19 février, 2025

Par Robert Descôteaux, Directeur, Administrateur Système chez ITCloud 

La fraude par carte SIM, appelée « SIM swap » ou « transfert de SIM », est une technique de piratage qui, bien qu’existante depuis plusieurs années, reste toujours d’actualité. Voici en quoi consiste cette méthode et comment vous pouvez vous en protéger. 

Qu’est-ce que le SIM Swapping? 

Avec le développement de l’authentification multifacteur (MFA), les téléphones intelligents sont devenus un élément essentiel de la stratégie de gestion des risques de cybersécurité d’une organisation et des individus. L’une des méthodes les plus courantes pour mettre en œuvre l’authentification multifacteur consiste à envoyer un code à usage unique à un téléphone intelligent par SMS. 

Les attaques par échange de cartes SIM (SIM swap) constituent une menace sérieuse pour les systèmes d’authentification multifacteur basés sur SMS et la sécurité mobile, en particulier avec la croissance du travail à distance et des politiques BYOD (Bring Your Own Device). En volant le numéro de téléphone d’un utilisateur, un attaquant accède à une partie fiable de l’identité d’un utilisateur. 

Que se passe-t-il lorsque l’échange de cartes SIM réussit? 

Une fois que l’attaquant a pris le contrôle du numéro, il peut commencer à modifier les mots de passe des comptes en ligne pour empêcher l’utilisateur réel d’accéder à ses profils bancaires, transférer des fonds, vendre des cryptomonnaies et compromettre les comptes de réseaux sociaux, les dossiers médicaux et d’autres données privilégiées. 

Information : L’utilisation d’une application d’authentification, telle que Microsoft Authenticator, associe la vérification directement à votre appareil mobile plutôt qu’à votre numéro de cellulaire.

Comment s’en protéger? 

Changer le code PIN de votre carte SIM est une mesure de sécurité importante pour protéger votre téléphone et vos données personnelles. Voici quelques raisons pour lesquelles il est recommandé de modifier le code PIN par défaut de votre carte SIM : 

  1. Sécuriser l’accès à votre carte SIM : 

Le code PIN par défaut, souvent défini sur « 1234 » ou un autre code tout aussi facile à deviner. Il peut être alors très facilement deviné par des personnes malveillantes. En le modifiant, vous ajoutez une couche de sécurité qui empêche toute personne ayant accès à votre téléphone de manipuler votre carte SIM ou de l’utiliser. 

  1. Protéger vos informations personnelles : 

Le code PIN empêche quelqu’un de changer les paramètres de votre carte SIM, tels que le verrouillage de la carte, ou d’utiliser des services comme le transfert d’appels ou la modification de votre plan de données. Cela contribue à la protection de vos informations sensibles en cas de perte ou de vol de votre téléphone. 

  1. Réduire les risques en cas de vol ou de perte : 

Si votre téléphone est volé ou perdu, un code PIN sur la carte SIM empêche l’attaquant d’utiliser votre carte SIM sur un autre appareil, limitant ainsi l’accès à vos appels, messages et autres services mobiles associés à votre numéro. 

  1. Éviter le changement de carte SIM non autorisé : 

Si quelqu’un parvient à accéder à votre téléphone, il pourrait potentiellement changer la carte SIM. Un code PIN difficile à deviner rend cette opération beaucoup plus complexe et dissuade les attaques par « SIM swapping », où un fraudeur transfère votre numéro vers une nouvelle carte SIM. 

  1. Protéger vos services bancaires et d’authentification à deux facteurs : 

De nombreux services utilisent votre numéro de téléphone pour des processus de vérification, comme l’envoi de codes 2FA (authentification à deux facteurs) via SMS. Modifier le code PIN de votre carte SIM renforce la protection de ces services en rendant plus difficile l’accès non autorisé. 

En résumé, changer le code PIN de votre carte SIM permet de renforcer la sécurité de votre téléphone et de protéger vos données personnelles contre les risques liés à la perte, au vol ou aux attaques malveillantes. 

Astuce: Envisagez de renoncer à l’authentification multifacteur par SMS pour vos applications et services en ligne. Utilisez plutôt une clé de sécurité ou une application comme Microsoft Authenticator.

Configurez l’authentification à deux facteurs à l’aide d’applications d’authentification 

L’authentification à deux facteurs est toujours une bonne idée. Cependant, dans le cas d’un échange de cartes SIM, le moyen le plus sûr d’accéder aux codes d’authentification est d’utiliser des applications d’authentification, plutôt que des codes envoyés par courriel ou par SMS. 

C’est également une bonne idée d’ajouter des mesures de sécurité supplémentaires aux applications d’authentification, comme les protéger avec un code PIN, une empreinte digitale ou un identifiant facial. Choisissez des codes PIN qui ne sont pas associés à des anniversaires, des anniversaires ou des adresses. Optez pour un assortiment aléatoire de chiffres. 

Méfiez-vous des tentatives de l’hameçonnage 

Les cybercriminels utilisent souvent l’hameçonnage (phishing) pour alimenter leurs tentatives d’usurpation d’identité. L’hameçonnage est une méthode utilisée par les cybercriminels pour récupérer des informations personnelles sensibles qu’ils peuvent utiliser pour se faire passer pour vous ou accéder à vos comptes financiers. 

Les courriels, SMS et appels téléphoniques d’hameçonnage utilisent souvent la peur, l’excitation ou l’urgence pour inciter les gens à divulguer des informations précieuses, telles que des numéros de sécurité sociale, des dates de naissance, des mots de passe et des codes PIN. 

Méfiez-vous des messages provenant de personnes et d’organisations que vous ne connaissez pas. Même si l’expéditeur vous semble familier, il peut y avoir des fautes de frappe dans le nom de l’expéditeur, son logo et tout au long du message, ce qui est un bon indice que vous devez supprimer le message immédiatement. 

Ne cliquez jamais sur les liens contenus dans les messages suspects. 

Verrouillage de la carte SIM 

N’essayez pas de deviner le code PIN de votre carte SIM. Une erreur de devinette peut bloquer définitivement votre carte SIM ou eSIM, ce qui signifie que vous aurez besoin d’une nouvelle carte SIM ou eSIM. 

Attention : N’oubliez pas que si vous saisissez le code PIN de manière incorrecte plus de 3 fois, il sera verrouillé. Le téléphone ne pourra passer que des appels d’urgence. Communiquer avec votre fournisseur cellulaire pour vous faire débarrer. Si vous saisissez le code PIN de manière incorrecte 10 fois, celle-ci se verrouillera irrémédiablement et vous devrez acheter une nouvelle carte SIM 

PUK (Personal Unblocking Key) 

Débutons par la fin. Un code PUK (Personal Unblocking Key, ou clé de déblocage personnelle) est un code de sécurité utilisé dans le monde des téléphones mobiles. Il permet de débloquer une carte SIM lorsque celle-ci a été verrouillée après plusieurs tentatives erronées de saisie du code PIN (Personal Identification Number). 

Voici comment cela fonctionne : 

  • Le code PIN est un code à 4 chiffres que l’utilisateur doit entrer pour accéder à son téléphone. 
  • Si l’utilisateur saisit incorrectement le code PIN plusieurs fois (généralement trois fois), la carte SIM se bloque. Seuls les appels d’urgence restent encore accessibles. 
  • Pour déverrouiller la carte SIM, l’utilisateur doit entrer le code PUK, qui est fourni par l’opérateur de téléphone mobile. Au Canada, vous devez contacter votre opérateur pour obtenir de l’aide et éventuellement un nouveau code PUK. 

Exemple d’une carte SIM verrouillée demandant le code PUK. Lorsque le téléphone est verrouillé, seuls les appels d’urgence restent accessibles. Il est important de ne pas saisir un code PUK incorrect trop de fois (généralement dix fois), car cela pourrait entraîner le blocage permanent de la carte SIM 

PUK - Personnal Unblocking Key

PIN de la carte SIM 

L’ajout d’un code PIN sur votre carte SIM se fait généralement via les paramètres de sécurité de votre téléphone. Par défaut, ce code est souvent désactivé et défini sur 1234

Ci-dessous, vous trouverez les codes de verrouillage les plus courants pour les cartes SIM, en fonction de l’opérateur de votre service mobile. 

AT&T: 1111 

Bell: 1234 (or 1111) 

Kodoo: 1234 

Rogers: 1234 

Telus: 1234 

Verizon: 1111 

Vidéotron: 1234 

Quand votre code PIN vous sera-t-il demandé? 

Le code PIN de votre carte SIM vous sera demandé dans les situations suivantes : 

  • Lorsque vous souhaitez apporter des modifications à votre carte SIM actuelle. 
  • Lors du démarrage de votre téléphone, en plus de votre code PIN pour déverrouiller l’appareil 

Activer ou désactiver le NIP pour bloquer l’accès à la carte SIM 

Sur un appareil mobile Android 

Veuillez noter que le chemin de navigation peut être différent selon les modèles. 

  1. Ouvrez les « Paramètres » de votre appareil et appuyez sur « Sécurité et confidentialité ». 
  1. Appuyez ensuite sur « Autres paramètres de sécurité ». 
  1. Sélectionnez « Définir verrouillage SIM ». 
  1. Puis activez l’option « Verrouillage de la carte SIM ». 
  1. Inscrivez le code PIN de votre carte SIM puis appuyez sur « OK ». Par défaut, le code PIN devrait être 1234
  1. Une fois le verrouillage de la carte SIM activé, appuyez sur « Modifier PIN de la SIM » pour changer le code PIN. 

Si vous souhaitez désactiver le verrouillage de la carte SIM, appuyez de nouveau sur l’option « Verrouillage de la carte SIM » (le curseur deviendra grisé). 

Sur un appareil mobile iPhone 

Vous avez la possibilité d’utiliser toutes les méthodes de chiffrement offertes, dans l’option de chiffrement. Voici les deux options supplémentaires qui sont propres à l’organisation. 

Si vous possédez un iPhone avec une seule carte SIM ou eSIM : 

  1. Ouvrez l’application « Réglages », puis appuyez sur « Réseau cellulaire ». 
  1. Sélectionnez « Code PIN » pour la carte SIM. Si vous avez plusieurs cartes SIM, choisissez celle que vous souhaitez protéger. 
  1. Activez le code NIP de votre carte SIM. 
  1. Validez en appuyant sur « OK ». 

Conclusion 

En appliquant un code PIN sur votre carte SIM, vous ajoutez une couche essentielle de sécurité pour protéger vos données et votre identité contre les menaces telles que le « SIM swapping ». Cette mesure simple, mais efficace, permet de rendre plus difficile l’accès non autorisé à vos informations personnelles, tout en offrant une protection supplémentaire en cas de vol ou de fraude. 

En prenant des précautions supplémentaires et en restant vigilant face aux risques potentiels, vous renforcez la sécurité de votre téléphone et de vos données sensibles. Protéger votre identité commence par des actions simples mais cruciales, comme l’activation d’un code SIM, pour garantir que vos informations restent entre de bonnes mains. 

Et n’oubliez pas, former et sensibiliser vos clients est plus simple que de devoir gérer une fuite de données une fois qu’elle s’est produite. 

Vous souhaitez en savoir plus ?
Remplissez ce formulaire et l’un de nos spécialistes en sécurité vous contactera sous peu.