Facteurs relatifs à la sécurité à considérer pour les cartes SIM (ITSAP.10.021)

Une carte de module d’identification d’abonné (SIM pour subscriber identity module) est une puce électronique qui stocke l’information d’utilisateur du réseau mobile, comme le numéro de téléphone et la clé d’authentification utilisée pour donner accès au réseau cellulaire. Une carte SIM est également désignée par le terme Universal Integrated Circuit Card (UICC), qui est la version moderne de la carte SIM originale. Il s’agit du terme technique, mais on utilise encore couramment le terme carte SIM.

Étant donné l’information qu’elles stockent, les cartes SIM sont des cibles prisées par les auteures et auteurs de menace. Cette publication vise à vous aider à comprendre la principale menace, appelée l’usurpation de carte SIM, et vous donne des recommandations pour vous en protéger.

Sur cette page

Différence entre une carte SIM et une carte SIM intégrée

Une carte SIM est une carte physique insérée dans un appareil. Elle utilise l’information stockée dans l’appareil pour identifier et authentifier l’utilisatrice ou utilisateur d’un réseau mobile. Une carte SIM intégrée (ou eSIM pour embedded SIM) est une puce électronique ne pouvant pas être retirée et qui est intégrée à l’appareil. Par sa nature, elle est facile à configurer et à activer à distance. Une carte eSIM peut stocker plusieurs profils SIM.

Facteurs à considérer pour les cartes eSIM

Les fournisseurs proposent de plus en plus l’option de cartes eSIM en raison de leur commodité. Des risques leur sont toutefois associés, car les auteures et auteurs de menace peuvent plus facilement

  • compromettre les comptes mobiles et y accéder;
  • mener des activités de piratage psychologique et des attaques à distance, étant donné qu’elles peuvent être produites et transférées numériquement;
  • compromettre plusieurs profils en même temps;
  • exploiter des maliciels au moyen de l’exécution de codes arbitraires.

Usurpation de carte SIM

L’usurpation de carte SIM est une attaque qui vise votre compte de téléphonie mobile et transfère votre numéro de téléphone sur la carte SIM ou eSIM d’une ou un auteur de menace à votre insu. Cette attaque est aussi connue sous le nom de détournement de carte SIM ou d’échange de carte SIM.

Si une ou un auteur de menace mène à bien une attaque d’usurpation de carte SIM, il peut utiliser son appareil pour contrôler les communications qui vous sont destinées et se faire passer pour vous. Cette fraude permet également d’accéder à d’autres comptes, comme votre compte bancaire, qui utilisent le numéro de téléphone comme méthode de vérification de l’identité.

Déroulement de l’usurpation de carte SIM

Les auteures et auteurs de menace emploient les méthodes suivantes pour mener une attaque d’usurpation de carte SIM.

Appeler votre fournisseur

Les auteures et auteurs de menace tentent d’usurper une carte SIM en passant par un processus semblable à celui que suivent les fournisseurs au moment de transférer un numéro de téléphone d’un ancien appareil à un nouvel appareil lors d’une mise à niveau. Les auteures et auteurs de menace peuvent tenter de transférer le numéro de téléphone de leur victime à leur propre appareil en appelant le fournisseur de réseau mobile et en se faisant passer frauduleusement pour leur victime. Ils peuvent outrepasser les questions de sécurité courantes de vérification de l’identité en effectuant des recherches pour trouver les renseignements personnels partagés en ligne.

Vol de justificatifs d’identité

Les auteures et auteurs de menace peuvent également tenter d’accéder aux renseignements du compte de téléphonie mobile sur le site Web du fournisseur pour déclencher et autoriser un processus d’échange de carte SIM. Ils utilisent des noms d’utilisateur et des mots de passe volés pour mener des attaques par bourrage d’identifiants ou recueillent des renseignements personnels publiés en ligne ou sur les médias sociaux pour répondre aux questions de sécurité lors de l’authentification.

Exploiter un accès interne

L’usurpation de carte SIM peut survenir en raison d’une menace interne. Des membres du personnel et d’autres personnes ayant un accès interne à un fournisseur de services mobiles peuvent autoriser des changements à un compte client et vendre des cartes SIM usurpées.

Conséquences de l’usurpation de carte SIM

Si votre carte SIM est usurpée, l’auteure ou auteur de menace recevra vos appels, vos messages texte et vos notifications sur son appareil. Étant donné que les appareils mobiles sont devenus une mesure d’authentification, une ou un auteur de menace peut se faire passer pour vous pour accéder à vos comptes et à votre information. Il s’agit d’un risque pour vous et pour votre organisation.

Risques individuels

L’usurpation de carte SIM présente plusieurs risques individuels. Une ou un auteur de menace peut

  • modifier et voler d’autres informations d’identification de compte;
  • vous empêcher d’accéder à votre compte et de le gérer;
  • voler votre argent et des renseignements financiers;
  • contrôler et traiter l’information qui passe par vos comptes personnels;
  • se faire passer pour vous et propager la fraude à vos contacts.

Risques organisationnels

Il convient d’évaluer le niveau de sensibilité des données traitées selon la posture de votre organisation sur l’utilisation d’appareils (par exemple, appareil appartenant à l’entreprise ou appareil personnel) et sur le télétravail. Si des auteures et auteurs de menace compromettent un service mobile qui traite de l’information organisationnelle, ils peuvent :

  • se faire passer pour la ou le propriétaire du compte;
  • propager des arnaques pas hameçonnage et des maliciels à d’autres comptes et appareils;
  • accéder à des informations sensibles et confidentielles;
  • compromettre les systèmes et les processus;
  • nuire à la réputation de votre entreprise et à la confiance des clientes, clients et partenaires.

Les indices de l’usurpation de carte SIM

Il y a des indices qui permettent de reconnaître qu’une ou un auteur de menace tente d’usurper votre carte SIM ou que celle-ci a été usurpée. Par exemple, il y a :

  • la réduction anormale du nombre de messages reçus sur votre appareil;
  • l’absence de messages de vérification pour l’authentification multifacteur (AMF);
  • des messages d’hameçonnage qui vous demandent de confirmer votre compte en saisissant un numéro d’identification personnel (NIP) ou en cliquant un lien pour vous connecter;
  • des messages qui indiquent une activité sur votre compte dont vous ne vous souvenez pas;
  • des changements que vous n’avez pas apportés aux informations sur le compte;
  • la perte d’accès aux comptes en ligne (par exemple, compte bancaire, courriel, média social);
  • des transactions inconnues sur vos comptes;
  • la déconnexion du réseau cellulaire.

Si votre carte SIM a été usurpée, vous n’aurez pas accès au service cellulaire ni aux capacités d’appel par réseau Wi-Fi. Il est important de noter qu’une connexion maintenue au Wi-Fi peut garder votre connexion par données active. Si vous changez entre le réseau cellulaire et le réseau Wi-Fi automatiquement et souvent, vous ne reconnaîtrez peut-être pas immédiatement que votre carte SIM est compromise.

Comment protéger votre carte SIM

Il est important de prendre des mesures de sécurité préventives pour atténuer les risques d’être victime de l’usurpation de carte SIM. Les meilleures manières de vous en protéger sont notamment les suivantes :

  • Utiliser toute exigence de vérification que propose votre fournisseur de services pour protéger votre compte;
  • Demander à votre fournisseur de services d’activer la protection des accès ou de verrouiller la carte SIM à votre compte, si possible;
  • Activer l’AMF qui comprend d’autres méthodes que le numéro de téléphone (par exemple, un NIP, la biométrie ou une application d’authentification);
  • Garder l’information sensible liée aux questions de sécurité des comptes privées (par exemple, date de naissance, adresse du domicile, nom de jeune fille de la mère);
  • Utiliser des adresses courriel uniques et distinctes pour les comptes financiers et les comptes de médias sociaux;
  • Créer des mots de passe et des phrases de passe différentes pour chaque compte;
  • Se tenir au courant des avis de sécurité du fournisseur et des avis et notifications de sécurité du Centre canadien pour la cybersécurité.

Mesures de sécurité organisationnelles

En plus des mesures susmentionnées, d’autres pratiques de sécurité organisationnelle sont à envisager pour éviter l’usurpation de carte SIM.

  • Avoir une politique claire sur l’utilisation des appareils et les données qui peuvent être traitées sur certains appareils;
  • Imposer des contrats de service cellulaire sur les appareils d’entreprise qui interdisent la migration des comptes sans l’approbation préalable de l’organisation;
  • Mettre en place des séances obligatoires de maintenance des appareils de l’entreprise;
  • Utiliser des applications d’authentifiants qui génèrent des codes de passe à utilisation unique pour l’AMF plutôt que les mesures de vérification liées au numéro de téléphone (par exemple, message texte ou appel téléphonique);
  • Déployer des clés de sécurité matérielle pour sécuriser et authentifier les comptes très sensibles, au besoin;
  • Classifier et étiqueter les données en fonction du niveau de sensibilité et établir clairement comment traiter les données à chaque niveau;
  • Offrir de la formation relative à la cybersécurité.