Grâce aux eSIMs, les pirates peuvent vider votre compte en banque plus facilement

La pratique du SIM swapping est devenu bien plus simple depuis la démocratisation des eSIMs. Les pirates s'en servent pour récupérer votre numéro et accéder à vos comptes, dont celui de votre banque.

Parmi les nombreuses méthodes utilisées par les pirates pour voler nos informations personnelles et accéder à nos comptes, il y a celle que l'on appelle le SIM swapping, où échange de cartes SIM. Habituellement, cela nécessite que le hacker possède déjà quelques données vous concernant, puisque l'idée est qu'il appelle votre opérateur téléphonique en se faisant passer pour vous. Une fois le conseiller au bout du fil, il va prétexter que la carte SIM ne fonctionne plus ou qu'il ne l'a plus.

Objectif : faire annuler votre SIM et s'en faire envoyer une nouvelle afin de dérober votre numéro de portable. Le pirate peut alors recevoir les SMS de confirmation pour procéder à des opérations bancaires depuis votre compte par exemple. Les opérateurs mettent en place de plus en plus des protections contre cette pratique, aussi c'est désormais les eSIM qui sont la cible des hackers. Pour rappel, il s'agit d'une carte SIM virtuelle stockée sur une puce du mobile et modifiable à l'envie : changement, désactivation, suppression… C'est pratique et de plus en plus répandu. Une aubaine pour les malfrats.

Les eSIMs rendent le SIM swapping bien plus simple pour les pirates

La firme de Cybersécurité russe F.A.C.C.T a repéré une forte augmentation des attaques ciblant les eSIMs. Dans la majorité des cas, le but est de vider le compte bancaire de la victime. “Pour voler l'accès à un numéro de mobile, les criminels utilisent la fonction de remplacement ou de restauration d'une carte SIM numérique : transférer […] la carte SIM de la victime vers son propre appareil avec une eSIM“, lit-on dans le communiqué.

Lire aussi – Ils commandent pour 600 000€ de produits de luxe à partir de cartes SIM piratées

Le pirate n'a plus besoin de connaître vos nom, prénom et autres afin de se faire passer pour vous désormais. Il lui suffit d'accéder à votre compte sur le site de votre opérateur mobile, dont il aura obtenu les accès via phishing ou en profitant d'une fuite de données. À partir de là, il est facile de demander l'activation d'une eSIM qu'il enregistrera sur son smartphone. La seule manière de se prémunir de ce genre d'attaque reste encore de protéger son compte mobile avec un mot de passe le plus robuste possible.