Dimanche dernier, un citoyen américain a engagé des poursuites judiciaires contre T‑Mobile, qu’il accuse de ne pas avoir su protéger son numéro de téléphone mobile. Celui-ci avait été piraté par des hackers, qui avaient ainsi pu accéder à ses comptes de trading et dérober plusieurs milliers de dollars de crypto-monnaies.
En novembre dernier, Carlos Tapang, un trader de monnaies numériques, s’est fait pirater son numéro de téléphone T‑mobile : des hackers ont pu se l’approprier en le transférant vers le compte qu’ils détenaient auprès d’un autre opérateur, AT&T.
Et ils ont ainsi pu modifier le mot de passe de ses comptes de trading, et obtenir les actifs numériques que la victime stockait sur ces sites. Ses comptes s’appuyaient vraisemblablement sur une authentification à deux facteurs par SMS.
Comme le rapporte un article publié cette semaine par Law360, M. Tapang a porté plainte contre T‑Mobile qu’il accuse de ne pas avoir été capable de mettre en place des mesures de sécurité suffisantes pour protéger son compte.
La société de télécommunication aurait ainsi laissé des individus malveillants s’approprier le numéro de M. Tapang – ce qui leur aurait permis de lui voler ses crypto-monnaies.
« À cause de cette faille de sécurité, les comptes de trading de M. Tapang ont subi des transferts non autorisés. Il a été privé de l’utilisation de son numéro de téléphone mobile, et a perdu du temps, de l’énergie et de l’argent en faisant face à ce vol. Il a également subi un stress émotionnel du fait de ces transferts. »
Dans le butin des hackers, on retrouvait notamment des OmiseGo (OMG) et des Bitconnect (BCC).
Même si T‑Mobile déclare que des mesures de sécurité ont été mises en place pour éviter ce type d’attaque, la société de télécommunication n’a jamais mis en place un code PIN pour protéger le compte de M. Tapang – alors que celui-ci en avait pourtant fait la demande.
Les pirates ont appelé à plusieurs reprises le service client de T‑Mobile, jusqu’à ce qu’ils tombent sur un employé moins regardant, qui puisse les autoriser à effectuer le transfert. Dans la foulée, M. Tapang a perdu l’accès à son numéro de téléphone, pendant que les hackers vidaient ses comptes de trading.
Le « Number Jacking » : une tendance grandissante
Ce type de piratage entre dans la catégorie du « Social Engineering ». Il ne nécessite aucune compétence en informatique du côté des « hackers » : il consiste à se faire passer pour un autre individu afin de tenter d’obtenir un accès à ses comptes numériques.
C’est en 2016 que la presse a commencé à se faire l’écho de telles manœuvres. Dans un article intitulé « Des pirates ont dérobé des millions de dollars en Bitcoin – en utilisant seulement des numéros de téléphone », Forbes avait relayé le cas d’un autre client de T‑mobile. Son numéro de téléphone avait été transféré vers un compte détenu par les pirates, chez un autre opérateur.
Ceux-ci avaient ainsi pu prendre le contrôle de ses comptes de trading – et ainsi dérober l’ensemble des crypto-monnaies qui y étaient stockées.
Ils n’ont d’ailleurs eu besoin d’appeler le service client de T‑Mobile qu’à 6 reprises pour s’approprier le compte de leur victime. Ils avaient été mis en relations avec différents agents, qui leur demandaient de répondre à des questions de sécurité – et ils avaient donc du faire preuve de ruse lorsqu’ils ne détenaient pas certaines réponses.
Ces deux affaires prouvent bien qu’une authentification à deux facteurs par SMS n’est sans doute pas suffisante pour protéger ses comptes sur des plateformes d’échange de crypto-monnaies. Si les téléphones mobiles appartiennent aux utilisateurs, c’est bien l’opérateur qui gère leur numéro.
Mieux vaut utiliser une application dédiée – comme Google Authenticator – afin de protéger au mieux ses comptes de trading.
