Des services pirates d’un nouveau genre, « Impersonation-as-a-Service ». sont sur le point de compiler chaque bribe d’info sur vous, pour créer un double numérique parfait. Une arme prête à être utilisée pour vider vos comptes.
La collecte, une toile d’araignée tissée patiemment
Leur travail commence bien avant l’attaque. Ils écument le web à la recherche de la moindre donnée sur vous. Votre profil LinkedIn révèle votre employeur. Vos photos sur Instagram, votre lieu de vacances. Votre compte Facebook, votre date de naissance. Et surtout, ils achètent et croisent les données des fuites précédentes. Pour compléter votre profil.
Du puzzle numérique au dossier complet
Pièce par pièce, le puzzle de votre vie se reconstitue. Ils ne veulent pas seulement votre nom ou votre e-mail. Ils cherchent les réponses à vos questions de sécurité. Le nom de jeune fille de votre mère. Le nom de votre première école. Le résultat est un dossier complet. Une vraie fiche de renseignement qui contient toutes les clés de votre identité.
L’arme ultime : le service client de votre opérateur
Une fois ce dossier prêt, l’attaque est lancée. Et elle ne vise pas votre ordinateur. Elle vise le point le plus faible de toute la chaîne : l’humain. Le pirate, armé de votre dossier, contacte le service client de votre opérateur téléphonique.
Il se fait passer pour vous et répond avec une précision troublante à toutes les questions de sécurité. Il dit qu’il a perdu son téléphone. Il demande à activer une nouvelle carte SIM. L’employé, dupé, s’exécute.
Le « SIM Swapping », le coup de grâce
À cet instant précis, votre numéro de téléphone est détourné. C’est ce qu’on appelle le « SIM swapping« . Tous les SMS qui vous sont destinés arrivent désormais sur le téléphone du pirate. Surtout les précieux codes d’authentification.
Il a désormais la clé universelle de vos comptes. Il peut aller sur le site de votre banque, cliquer sur « mot de passe oublié », et recevoir le code qui lui donnera un accès total.
Agir maintenant : comment rendre leurs données inutiles
Face à cette menace, la parade existe. Mais il faut agir avant l’attaque. La première étape, c’est de faire le ménage. Supprimez les vieux comptes que vous n’utilisez plus. Rendez vos profils sur les réseaux sociaux aussi privés que possible.
Mais le plus important, c’est de rendre leurs données obsolètes. Abandonnez l’authentification par SMS. Privilégiez les applications d’authentification, comme Google Authenticator. Ou, encore mieux, les clés de sécurité physiques.
Ces méthodes ne peuvent pas être interceptées à distance. L’information que les pirates ont sur vous ne leur servira alors plus à rien. C’est la seule manière de reprendre le contrôle. Avant qu’il ne soit trop tard.
