Des pirates « dérobent » des numéros de téléphone en se faisant envoyer la carte SIM de leurs victimes par les opérateurs téléphoniques. / PHILIPPE HUGUEN / AFP

La pratique est connue depuis longtemps, mais elle va être condamnée par la justice pour la première fois. Fin janvier, le citoyen américain Joel Ortiz a plaidé coupable pour le vol de plusieurs millions de dollars à l’aide du « sim swapping », une pratique qui consiste à voler le numéro de téléphone portable de quelqu’un.

Selon le site spécialisé Motherboard, qui cite la procureure adjointe de Santa Clara Erin West, ce jeune étudiant a passé un accord avec la justice et sera officiellement condamné à dix ans de prison le 14 mars. Il avait été arrêté, en juillet dernier, par les autorités californiennes, et de nombreux chefs d’accusation (piratage, vol d’identité, vol) pesaient sur lui.

• Qu’est-ce que le « SIM swapping » ?

Ce terme désigne le fait de « voler » le numéro de téléphone portable de quelqu’un, souvent en un simple appel. En effet, votre numéro est rattaché à une carte SIM. Cette petite puce dans votre téléphone vous identifie et vous permet, pour résumer, de vous connecter aux réseaux téléphoniques, 3G et 4G.

Dans la plupart des cas de « SIM swapping », un pirate contacte le service client de votre opérateur afin de se faire passer pour vous. Prétextant la perte, une malfonction ou le vol de votre carte SIM (qui est dans votre téléphone), il demande alors à activer votre numéro sur une nouvelle carte (que lui possède). Pour convaincre le service client au bout du fil, il utilise des informations personnelles (date de naissance, adresse, numéro de client, etc.), qu’il a pu trouver sur Internet ou par d’autres moyens. Une fois l’opération réussie, le pirate peut alors recevoir des appels et des SMS qui vous sont destinés à votre place.

L’ampleur de ce type d’usurpation est inconnue. En France, ce type de fraude a été mentionné dans le dernier rapport du ministère de l’intérieur sur la cybercriminalité, mais aucun chiffre n’y est donné pouvant estimer l’ampleur de cette fraude.

• Pourquoi les pirates utilisent-ils cette méthode ?

Dans le cas qui intéresse la justice américaine, Joel Ortiz a volé une quarantaine de numéros de téléphone. Ils étaient ensuite utilisés pour dérober des comptes sur des réseaux sociaux, et surtout pour accéder à des portefeuilles virtuels de cryptomonnaies comme le bitcoin. Dans un cas, l’étudiant a volé 1,5 million de dollars à un entrepreneur qui venait d’investir dans une cryptomonnaie.

En effet, pour protéger leurs comptes sur les réseaux sociaux et d’autres sites, les internautes sont invités à activer la double authentification : une fois que vous avez entré votre mot de passe, vous devez passer par une phase supplémentaire de vérification et entrer un code temporaire que vous recevez sur votre téléphone, par exemple. Ainsi, si un pirate casse ou devine votre mot de passe Facebook ou autre, il ne peut pas accéder à votre compte sans ce code temporaire.

Or, en volant un numéro de téléphone, le pirate peut recevoir ce code de vérification. Dans certains cas, il peut même réinitialiser votre mot de passe et n’a donc même pas besoin de le casser pour prendre le contrôle de votre compte.

• Comment le pirate a-t-il été retrouvé ?

Selon Motherboard, l’enquête a été réalisée par une branche des autorités californiennes spécialisée dans les infractions informatiques. C’est grâce à l’alerte d’un investisseur victime de Joel Ortiz que les enquêteurs ont remonté sa trace.

En effet, après avoir volé le numéro de téléphone de sa victime, il l’a utilisé pour passer des appels. Des appels qui ont été retrouvés par AT&T, opérateur américain, qui a identifié deux téléphones par leur numéro IMEI (un identifiant unique attribué à chaque téléphone portable). Ce sont ces numéros qui ont permis de remonter jusqu’à Joel Ortiz.

Ils ont ensuite demandé à Google des informations qui leur ont permis de retrouver le pirate, qui utilisait plusieurs boîtes e-mail, dont l’une d’elles contenait un selfie pris avec sa carte d’identité.

L’an dernier, les enquêteurs américains ont arrêté plusieurs pirates soupçonnés d’avoir volé des millions de dollars en s’appuyant notamment sur le « SIM swapping ». Le 1^er février, le procureur de New York a annoncé l’inculpation d’un homme soupçonné d’avoir volé le numéro de téléphone d’une cinquantaine de personnes aux Etats-Unis.