Une équipe de chercheurs de l’Université de Princeton a démontré que plusieurs opérateurs américains (AT&T, Verizon, Tracfon, US Mobile et T-Mobile) sont vulnérables à un type d’attaques visant les cartes SIM. Baptisée « swap SIM » ou transfert de cartes SIM, elle permet aux attaquants de contacter l’opérateur, de se faire passer pour les victimes et transférer le service de la victime sur leur propre carte SIM. Comme cela, ils peuvent intercepter les codes de vérification par SMS et accéder aux comptes des victimes sur des sites web. Sur ce dernier point, les experts de Princeton ont testé leur attaque sur plus de 150 sites web. Plusieurs sites impliquent une simple authentification par SMS.
Revoir les scénarios d’appel pour changer la carte SIM
Ils ont par ailleurs éprouvé 50 cartes SIM prépayées en créant des identités fictives et en persuadant les opérateurs de réassigner chaque compte à une nouvelle carte SIM (voir schéma ci-dessous). Les 10 comptes impliquant AT&T, T-Mobile et Verizon ont été transférés avec succès, 6 comptes de Tracfone et 3 comptes pour US Mobile. Au total, 39 des tentatives sur 50 ont été réussies.
Les chercheurs ont noté qu’AT&T, Tracfone et US Mobile, ont révélé des données personnelles sans authentifier l’appelant, notamment les adresses de facturation, les dates d’activation et de paiement. Si ces informations ne garantissent pas à elles seules le succès d’un transfert de carte SIM, elles peuvent aider les attaquants à deviner les réponses aux questions de sécurité. L’ensemble des résultats ont été transmis aux opérateurs et à la CTIA (association des opérateurs mobiles aux Etats-Unis). Jusqu’à présent, seul T-Mobile a explicitement mis à jour ses pratiques de sécurité.