Aspect Légal Piratage

Number Jacking : un trader de crypto-monnaies attaque T‑Mobile pour ne pas avoir su empêcher le piratage de son compte

Piratage

Dimanche der­nier, un citoyen amé­ri­cain a enga­gé des pour­suites judi­ciaires contre T‑Mobile, qu’il accuse de ne pas avoir su pro­té­ger son numé­ro de télé­phone mobile. Celui-ci avait été pira­té par des hackers, qui avaient ain­si pu accé­der à ses comptes de tra­ding et déro­ber plu­sieurs mil­liers de dol­lars de crypto-monnaies.

En novembre der­nier, Car­los Tapang, un tra­der de mon­naies numé­riques, s’est fait pira­ter son numé­ro de télé­phone T‑mobile : des hackers ont pu se l’ap­pro­prier en le trans­fé­rant vers le compte qu’ils déte­naient auprès d’un autre opé­ra­teur, AT&T.

Et ils ont ain­si pu modi­fier le mot de passe de ses comptes de tra­ding, et obte­nir les actifs numé­riques que la vic­time sto­ckait sur ces sites. Ses comptes s’ap­puyaient vrai­sem­bla­ble­ment sur une authen­ti­fi­ca­tion à deux fac­teurs par SMS.

Comme le rap­porte un article publié cette semaine par Law360, M. Tapang a por­té plainte contre T‑Mobile qu’il accuse de ne pas avoir été capable de mettre en place des mesures de sécu­ri­té suf­fi­santes pour pro­té­ger son compte.

La socié­té de télé­com­mu­ni­ca­tion aurait ain­si lais­sé des indi­vi­dus mal­veillants s’ap­pro­prier le numé­ro de M. Tapang – ce qui leur aurait per­mis de lui voler ses crypto-monnaies.

« À cause de cette faille de sécu­ri­té, les comptes de tra­ding de M. Tapang ont subi des trans­ferts non auto­ri­sés. Il a été pri­vé de l’u­ti­li­sa­tion de son numé­ro de télé­phone mobile, et a per­du du temps, de l’éner­gie et de l’argent en fai­sant face à ce vol. Il a éga­le­ment subi un stress émo­tion­nel du fait de ces transferts. »

Dans le butin des hackers, on retrou­vait notam­ment des Omi­se­Go (OMG) et des Bit­con­nect (BCC).

Même si T‑Mobile déclare que des mesures de sécu­ri­té ont été mises en place pour évi­ter ce type d’at­taque, la socié­té de télé­com­mu­ni­ca­tion n’a jamais mis en place un code PIN pour pro­té­ger le compte de M. Tapang – alors que celui-ci en avait pour­tant fait la demande.

Les pirates ont appe­lé à plu­sieurs reprises le ser­vice client de T‑Mobile, jus­qu’à ce qu’ils tombent sur un employé moins regar­dant, qui puisse les auto­ri­ser à effec­tuer le trans­fert. Dans la fou­lée, M. Tapang a per­du l’ac­cès à son numé­ro de télé­phone, pen­dant que les hackers vidaient ses comptes de trading.

Le « Number Jacking » : une tendance grandissante

Number JackingCe type de pira­tage entre dans la caté­go­rie du « Social Engi­nee­ring ». Il ne néces­site aucune com­pé­tence en infor­ma­tique du côté des « hackers » : il consiste à se faire pas­ser pour un autre indi­vi­du afin de ten­ter d’ob­te­nir un accès à ses comptes numériques.

C’est en 2016 que la presse a com­men­cé à se faire l’é­cho de telles manœuvres. Dans un article inti­tu­lé « Des pirates ont déro­bé des mil­lions de dol­lars en Bit­coin – en uti­li­sant seule­ment des numé­ros de télé­phone », Forbes avait relayé le cas d’un autre client de T‑mobile. Son numé­ro de télé­phone avait été trans­fé­ré vers un compte déte­nu par les pirates, chez un autre opérateur.

Ceux-ci avaient ain­si pu prendre le contrôle de ses comptes de tra­ding – et ain­si déro­ber l’en­semble des cryp­to-mon­naies qui y étaient stockées.

Ils n’ont d’ailleurs eu besoin d’ap­pe­ler le ser­vice client de T‑Mobile qu’à 6 reprises pour s’ap­pro­prier le compte de leur vic­time. Ils avaient été mis en rela­tions avec dif­fé­rents agents, qui leur deman­daient de répondre à des ques­tions de sécu­ri­té – et ils avaient donc du faire preuve de ruse lors­qu’ils ne déte­naient pas cer­taines réponses.

Ces deux affaires prouvent bien qu’une authen­ti­fi­ca­tion à deux fac­teurs par SMS n’est sans doute pas suf­fi­sante pour pro­té­ger ses comptes sur des pla­te­formes d’é­change de cryp­to-mon­naies. Si les télé­phones mobiles appar­tiennent aux uti­li­sa­teurs, c’est bien l’o­pé­ra­teur qui gère leur numéro.

Mieux vaut uti­li­ser une appli­ca­tion dédiée – comme Google Authen­ti­ca­tor – afin de pro­té­ger au mieux ses comptes de trading.

Réfé­rences : CCN, Law360

5/5 – (1 vote) 
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires