SIM swapping et cryptomonnaies : le régulateur télécom US accusé de laxisme
Le crypto-investisseur américain Michael Terpin a rendu public une lettre ouverte adressée au régulateur des télécoms US. Dans celle-ci, il dénonce le laxisme des opérateurs téléphoniques, grâce auquel les pirates informatiques sont en mesure de prendre le contrôle des téléphones de leurs cibles, dans le cadre d’opérations dites de « SIM Swapping »… et finalement les détrousser de leurs précieuses cryptomonnaies.
Michael Terpin VS la FCC
Michael Terpin, en plus d’être un investisseur crypto bien connu de l’industrie, a un cheval de bataille bien particulier : lutter contre le SIM Swapping et contraindre les opérateurs à réellement prendre la mesure d’un fléau qui fait des ravages, particulièrement dans l’industrie de la cryptomonnaie.
On le rappellera, le SIM swapping consiste en la prise de contrôle d’un abonnement téléphonique par un tiers malintentionné. Le plus souvent, l’opération n’est pas d’une grande technicité et s’exécute surtout aux travers d’opérations d’ingénierie sociale bien menées. Très concrètement, c’est bien souvent en se faisant passer pour sa victime auprès des opérateurs téléphoniques qu’un attaquant opère : il parvient alors à obtenir le transfert du numéro de sa cible vers une carte SIM qu’il contrôle lui-même.
Tout le monde a bien saisi toute la gravité de détournements de ce type pour la sécurité des comptes et des données de leurs légitimes propriétaires, et plus particulièrement encore dans la cryptosphère, où les procédures 2FA (pour double authentification) sont légion.
Et c’est précisément la nonchalance sur ce sujet de la part des opérateurs téléphoniques que Terpin a décidé de pointer du doigt. Pour ce faire, il a saisi directement la Federal Communications Commission (FCC), le gendarme des Telecom US.
Des complicités internes ?
Il se trouve que Michael Terpin a une certaine légitimité sur le sujet : il a lui-même perdu quelques 24 millions de dollars en cryptomonnaies, précisément par SIM Swapping. A ses yeux, pas de doute : cette perte est due à la négligence de l’opérateur AT&T. Dans le cadre d’un procès contre cet opérateur et l’auteur des faits, ce sont pas moins de 75 millions de dollars que l’entrepreneur s’était vu accorder par la cour supérieure californienne.
Rebelote donc, dans le cadre de cette lettre ouverte au régulateur des télécoms US. Notre chevalier blanc demande d’enfin prendre des mesures contraignantes afin que les opérateurs appliquent des règles de sécurité minimales pour mieux protéger leurs clients.
Parmi ses suggestions, on trouve pêle-mêle :
- L’obligation de se déplacer en guichet physique lorsque l’on souhaite demander la portabilité d’un numéro d’une carte SIM à une autre,
- La nécessité d’interdire l’accès aux mots de passe des clients par les employés des diverses compagnies télécoms.
- La possibilité d’inclure une option « no port », permettant à un client de signaler son refus systématique de toute portabilité SIM.
Au passage, c’est la stratégie même des opérateurs qui est questionnée : si elle est inconsistante sur ce sujet pourtant de plus en plus coûteux pour les crypto-afficionados, elle est beaucoup plus énergique à l’encontre des automates d’appel par exemple. Or, Michael Terpin en est certain, « aucun automate d’appel n’a jamais fait perdre des millions à quiconque ».