Quand nos données personnelles se retrouvent sur le web, comme les millions de numéros de téléphone du Facebook Leaks par exemple, le principal risque est d’être ciblé par des attaques de phishing pour vous voler les accès à vos comptes.
Pour aller plus loin
Facebook Leaks : voici les deux outils pour vérifier si votre numéro est dans la nature
Une des parades est d’activer la double authentification sur les services que vous utilisez. Elle ajoute, en plus du mot de passe, une nouvelle étape d’authentification, comme un message avec un code, l’utilisation d’une clé de sécurité ou d’une application d’authentification. Si quelqu’un essaye d’accéder à votre compte après avoir piraté votre mot de passe, il devrait donc normalement être bloqué par la confirmation de votre identité, qui aura lieu sur votre smartphone.
En théorie, cela vous protège. Néanmoins, il est possible de se faire voler son numéro de téléphone, cette technique s’appelle le « SIM swapping ».
Qu’est-ce que le SIM Swapping ? Et comment cela fonctionne ?
Ce terme, SIM Swapping, est un terme qui désigne le fait de « voler » un numéro de téléphone portable. L’objectif des hackers est alors de transférer votre numéro depuis votre carte SIM jusqu’à une carte SIM en leur possession.
Ce n’est pas une technique compliquée et hors de portée. Bien souvent, les hackers contactent le service client de votre opérateur afin de se faire passer pour vous. Ils peuvent prétexter de la perte d’un téléphone, un vol ou problème de fonctionnement. Ils peuvent également soudoyer directement un employé d’un opérateur mobile.
Pour manipuler les opérateurs mobiles, ils usent d’informations personnelles comme votre date de naissance, votre adresse… des informations que l’on peut trouver sur le web, mais aussi dans les bases de données volées que l’on retrouve sur le dark web ou même sur des forums libres d’accès.
Une fois le numéro transféré, cela permet aux hackers de recevoir vos SMS et vos appels, et évidemment de débloquer l’accès à certains services avec double authentification. Un des exemples les plus courants est celui de Jack Dorsey, un des co-fondateurs de Twitter, qui s’est fait pirater son propre compte Twitter. Il y a aussi le cas Michael Terpin, un crypto-investisseur, il s’est fait voler 23 millions de dollars en utilisant la même méthode.
Comment éviter un SIM Swapping ?
Il faut savoir que cette technique est généralement très ciblée. Il y a peu de chance de se retrouver impacté.
La meilleure chose est d’éviter de publier des informations personnelles sur le web. C’est facile à dire et peut-être déjà trop tard, néanmoins c’est toujours important d’y être sensibilisé. Évitez donc de faire apparaître votre date de naissance, ou brouiller les pistes en rentrant de mauvaises dates de naissance.
Préférez une activation de la double authentification avec une application d’authentification, sans passer par un numéro de téléphone. La plus connue est Google Authenticator, il y a aussi Microsoft Authenticator, mais nous vous conseillons Twilio Authy qui offre une fonction de synchronisation. Suivez également nos autres conseils, comme celui d’avoir des mots de passe différents.
Vous pouvez également user de la fonction double SIM de votre smartphone pour ouvrir un second numéro de téléphone associé à un petit forfait mobile, comme celui de Free ou Cdiscount Mobile à 2 euros/mois. Ce numéro pourrait être utilisé exclusivement pour la double authentification des accès importants, comme celui de votre adresse e-mail, votre compte Amazon, etc.
300 Go
Appels illimités
300 Go en France
33 Go en Europe
Dans tous les cas, restez attentifs, si vous perdez le réseau sur votre téléphone, appelez rapidement votre opérateur mobile.
Pour aller plus loin
Facebook Leaks : comment les hackers ont récupéré vos numéros de téléphone
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
C'est bon merci j'ai réussi 👍
https://uploads.disquscdn.com/images/98ce9c6316b8f5cf7ad57477b4722e341ac89eec09654ab12dfb0e90f6714caf.jpg https://uploads.disquscdn.com/images/fe4998bcdcd8730e6468d934b1de78d270f28f6101ecac629af5b376c92ce9f2.jpg https://uploads.disquscdn.com/images/3066f40947e82da54dd6d2d6a50dfd4b3d4f21992979a1d7de58284656066ec5.png 👍
Jamais réussi à trouver comment le mettre en place, sur le site fr d'amazon, rien dans les pages d'aide sur ce sujet. Tu peux donner les captures écran par où tu es passé pour l'activer ?
J'ai Amazon dans Google authenticator depuis un bon moment (minimum mai 2018)
Comme dirait un ami quand quelqu'un lui demande si il peut essayer de récupérer les données perdues sur un disque dur cassé : "Si tu avais pas de backup c'est que c’était pas important" Plus sérieusement, oui, si la personne photographie/ imprime le QR code de google authenticator en le prenant en photo, alors l'accès a ses comptes 2FA n'est pas perdu. J'ai lu les commentaires sur le play store, se sont tous des gens qui ont pas compris le principe du truc et/ou qui ont pas fait le backup du QR code. Au bout d'un moment tant pis pour eux. Après le fait que ca te choque qu'on puisse pas récupérer les code ne cas de perte, montre que tu as pas bien compris le principe / vocation de ces app. Leur but premier est de protéger un compte d'un accès malveillant, pas de protéger l'utilisateur de son étourderie. Le simple fait de donner la possibilité de restaurer un compte en cas de perte des accès 2FA, introduit une faille de sécurité potentielle: - Un QR code imprimé de google authenticator => risque que quelqu'un mette la main sur le papier (cambriolage par exemple). Une solution : couper en 2 le QR code et donner une moitié a des amis. - Authy sauvegarde sur leur serveur un moyen de restaurer ? => Peut-on vraiment faire confiance a Authy sur le fait que leur système sera jamais hacké ? Au passage de nombreux sites qui proposent le 2FA proposent leur propre méthode de restauration en cas de perte du dis 2FA.
L'accès a Google authenticator et donc l'accès a tes comptes 2FA n'est pas perdu pour toujours vraiment ? Dans ce cas tu devrais essayer d'aller aider les utilisateurs qui ont laissés un avis sur le play store et qui pleurent pour retrouver l'accès a leurs comptes . Comment faire pour eux ?
L'accès a Google authenticator et donc l'accès a tes comptes 2FA n'est pas perdu pour toujours vraiment ? Dans ce cas tu devrais essayer d'aller aider les utilisateurs qui ont laissés un avis sur le play store et qui pleurent pour retrouver l'accès a leurs comptes . Comment faire pour eux ?
Bah non. Suffit d'imprimer ce QR code et bien la planquer à un endroit ou personne le trouvera. Bon ok, pendant le temps ou tu n'as pas physiquement de téléphone tu as pas accès a tes code, mais ils seront pas perdus "forever" Mais en même temps c'est le principe de base du 2FA...
Bah non. Suffit d'imprimer ce QR code et bien la planquer à un endroit ou personne le trouvera. Bon ok, pendant le temps ou tu n'as pas physiquement de téléphone tu as pas accès a tes code, mais ils seront pas perdus "forever" Mais en même temps c'est le principe de base du 2FA...
Ok mais pourquoi c'est pas possible sans bidouiller ? Et si tu n'as plus le tel et bien tu perds l'accès a tes comptes.
Ok mais pourquoi c'est pas possible sans bidouiller ? Et si tu n'as plus le tel et bien tu perds l'accès a tes comptes.
Non, pas forcément. En bidouillant c'est possible. Ca génère un QR code pour faire le transfert. L'application empêche de faire une capture d'écran mais rien n'interdit de prendre une photo de l'écran de bonne qualité si on veut vraiment avoir un backup en cas de perte du téléphone.
Non, pas forcément. En bidouillant c'est possible. Ca génère un QR code pour faire le transfert. L'application empêche de faire une capture d'écran mais rien n'interdit de prendre une photo de l'écran de bonne qualité si on veut vraiment avoir un backup en cas de perte du téléphone.
Comme dans beaucoup de pays... Je pense que ce piratage est ciblé que dans certains pays uniquement.
Ben oui comme en France
Oui c'est clair !
Non ce n'est pas possible en France ça désactive l'autre sim comme je l'explique. Ce qui était arrivé l'an dernier c'était au US 😉
Non ! mais ces gens doivent donner une adresse en Suisse pour recevoir la carte SIM et c est là que la police peut faire quelque chose.
Pour le coup, un employer soudoyé de la banque peut aussi dévaliser votre compte... Mais la traçabilité de l'action reste. Si le dommage est important, l'opérateur devra en justifier.
Ok ça a l'air bien meilleur le Microsoft authenticator. Sur la description de celui de Google au niveau nouveautés "Vous pouvez désormais transférer votre compte sur un autre appareil, par exemple si vous changez de téléphone" Le contraire a pu exister ? J'y crois pas ! 😲 Mais attention pour faire ça il faut les "DEUX" téléphones !
C'est expliqué dans l'article, c'est comme ce qui est arrivé sur Twitter l'année dernière, un employé soudoyé peut donner accès à ce genre de services
Justement, un second numéro peut éviter de faire la connexion entre une "personnalité" et un "numéro", car ce sont des attaques ciblées Les "solutions" sont dangereuses, vraiment ?
L'article est mauvais et les "solutions" présentées sont dangereuses. 1) avoir un second numéro ? En cas de fuites de données (Facebook ou autre) ce numéro se retrouvera dans la nature de la même manière que le numéro classique. Sauf que... 2) Si tu utilises ton numéro de téléphone classique et que tu perds le service pendant 1 ou 2h tu t'en rendras vite compte, tandis que si tu utilises un numéro dédié qui ne servira qu'à ça a l'occasion tu mettras beaucoup plus de temps à t'en rendre compte... Votre site numerama/cyber guerre avait publié un témoignage à ce sujet il y a quelques mois, vous auriez dû le relire avant de publier ça, car c'est vraiment dangereux si quelqu'un suit votre conseil
Comme si la police Suisse allait aller au Nigeria pour appréhender celui qui tente l'arnaque... 🙄
Moi j'utilise Microsoft authenticator, et si ça arrive pas de problème. C'est sauvegardé dans les serveurs Microsoft si tu actives cette fonction. Il faut bien sûr un compte Microsoft. C'est juste la procédure de redescente de la sauvegarde où il faut faire très attention. Bien lire la notice/FAQ sur ce sujet pour ne pas écraser sa sauvegarde avec des données vierges...
Juste une question bête ... pourquoi on reçoit pas une notification SMS a la demande d'une nouvelle puce ? ça permettra d’être avertit si une puce est demander sans notre consentement ... au moins on a le temps de réagir si une puce est crée sans notre consentement ....
J'ai lu quelques avis de Google authenticator et bien ça fait peur 😱 Il suffit donc de se faire voler son tel ou qu'il devienne HS et la vous perdez tous les accès à vos comptes ! 😮 Franchement c'est grave si c'est vraiment ça !
En Suisse il n est pas possible de voler la carte SIM... Car les tous les opérateurs facturent 35 euro par carte SIM et désactive l ancienne. Il faut attendre minimum 3 jours pour recevoir la nouvelle SIM a la maison uniquement en Suisse et ils n envoient pas au Nigeria ou en France etc (donc de 1 notre tel je fonctionne plus... On tel a l opérateur pour voir le problème, de 2 l opérateur doit connaître l adresse réelle où le nigérian a demandé a envoyer la carte SIM, vous voyez le risque et la police fonctionne très bien en Suisse, les Lyonnais de France venant voler en Suisse le savent - même quand ils sont pro) !
"Une fois le numéro transféré" Comment ça marche cette partie, car sauf erreur en France les opérateurs émettent une nouvelle carte sim et désactivent l'ancienne. La nouvelle carte sim est adressée à l'adresse postale du contrat. Et si remise de sim en boutique, ils vérifient l'identité. Du coup, j'ai un peu de mal à voir en pratique comment ils peuvent faire ici ? Le top étant pour tous les services d'utiliser une application d'authentification, Microsoft authenticator par exemple qui ne sont pas soumises aux éventuelles failles sur la sim. Mais bon tous les sites, même les plus sérieux, ne proposent pas forcément ce service, Amazon si tu nous lis... 🙄
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix