habillage
Main utilisant un smartphone dans l'ombre
© scyther5 via Getty Images

Trois façons de se faire pirater son téléphone

Le 20 sept. 2019

SIM Swapping, piratage d’applis et attaques par SMS… Découvrez trois types d’attaques mobiles de plus en plus fréquentes.

On passe de plus en plus de temps sur nos téléphones et les hackers en profitent. Le nombre d’attaques mobiles aurait doublé en 2018 selon la société de cybersécurité Kaspersky. Mieux vaut être au courant des différentes techniques pour être plus vigilant.

SIM Swapping ou l’art de voler votre numéro

Fin août 2019, le compte Twitter de Jack Dorsey (patron du réseau social à l’oiseau bleu) s’est mis à publier insultes racistes et autres apologies d’Adolf Hitler pendant un court (mais très gênant) moment. Le CEO a été victime de SIM swapping. Cette technique ne requiert pas un gros arsenal technique. Le pirate se contente d’appeler le service client de votre opérateur et demande à associer votre numéro à une autre carte SIM. Pour se faire passer pour vous il utilise des infos trouvées sur Internet comme votre numéro client, votre date de naissance ou votre adresse…

Les pirates du compte de Jack Dorsey ont ensuite utilisé le service Cloudhopper, qui permet d’envoyer un tweet par SMS. Le SIM swapping permet également aux fraudeurs de valider un achat sur Internet en récupérant le code envoyé par votre banque via SMS. En Europe, ce type de validation sera progressivement remplacé par des moyens plus sécurisés, pour éviter ces piratages.

Aucun chiffre ne permet de mesurer l’ampleur du SIM swapping, note Le Monde. Mais la pratique fait régulièrement parler d’elle dans les médias.

Simjacker ou l’art de pister votre téléphone

Simjacker est le nom d’une attaque qui aurait touché 1 milliard de téléphones ces deux dernières années dans différents pays selon une étude de l’expert en sécurité mobile AdaptiveMobile Security, publiée en septembre 2019. La victime reçoit un SMS qui contient des instructions cachées permettant de contrôler le téléphone à distance. Celles-ci sont prises en compte par un logiciel embarqué dans la carte SIM de la victime (baptisé S@T Browser). L’auteur de l’attaque peut ainsi récupérer la géolocalisation et le numéro d’identification du téléphone et s’envoyer ces infos via SMS. Et la victime ne se rend compte de rien. Les SMS reçus et envoyés n’apparaissent pas dans sa boîte de réception.

Selon AdaptiveMobile Security, cette attaque a été réalisée par des sociétés de surveillance privées qui travaillent avec des gouvernements.

Cheval de Troie, ou l’art d’infecter votre smartphone via une appli

En téléchargeant une application, vous pouvez (avec un peu de malchance) acquérir un virus en bonus. C’est la technique du cheval de Troie. En juin 2019, le malware Joker a contaminé 24 applications du Google Play dont Cute Camera, Age Face, Mini Camera, Print Plant scan... (la liste complète est détaillée sur le site de CNET). Il aurait été installé près de 500 000 fois selon la société de cybersécurité CSIS dans plusieurs pays dont la France. Joker renvoie l’utilisateur sur une page web proposant un service payant et l’abonne sans qu’il s’en rende compte. Certaines victimes ont ainsi été abonnées à un service de 6 euros par semaine.

Les chevaux de Troie sont très fréquents en particulier chez les utilisateurs d’appareils Android. En août 2019, toujours sur le Google Play Store, un autre malware a été découvert dans l’application CamScanner téléchargée plus de 100 millions de fois.

POUR ALLER PLUS LOIN :

> Quand une application trahit l'identité d'une journaliste d'investigation

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.