Détournement de cartes SIM : un investisseur poursuit un opérateur en justice après s’être fait voler 23 millions de dollars de crypto-monnaies

Un cryp­to-inves­tis­seur, vic­time du vol de son numé­ro de télé­phone, réclame 220 mil­lions de dol­lars à AT&T. Il accuse l’o­pé­ra­teur télé­pho­nique d’a­voir per­mis à des pirates de lui déro­ber les 24 mil­lions de dol­lars qu’il déte­nait sur une pla­te­forme d’échange.

Michael Ter­pin, le fon­da­teur des socié­tés Trans­form Group et BitAn­gels, a déci­dé ce mar­di d’at­ta­quer en jus­tice AT&T, le deuxième opé­ra­teur de ser­vices mobiles des États-Unis.

L’in­ves­tis­seur estime que l’en­tre­prise n’a pas pris suf­fi­sam­ment de pré­cau­tions pour pro­té­ger son numé­ro de télé­phone. Il juge qu’elle serait pour­tant consciente de l’é­mer­gence des attaques de « SIM hija­cking », menées par des pirates qui tentent de s’ap­pro­prier le numé­ro de télé­phone de crypto-investisseurs.

Ces der­niers mois, de nom­breux cri­mi­nels ont pu s’ap­puyer sur cette méthode pour déro­ber plu­sieurs mil­lions de dol­lars d’ac­tifs numé­riques à des indi­vi­dus impli­qués dans la cryp­to-sphère. En juillet, la police cali­for­nienne avait arrê­té un étu­diant de 20 ans qui ferait par­tie d’un groupe qui serait ain­si par­ve­nu à déro­ber l’é­qui­valent de 5 mil­lions de dol­lars auprès de plus de 40 vic­times. Quelques semaines plus tard, un flo­ri­dien de 25 ans avait été pour­sui­vi pour un crime similaire.

En février, le site Mother­board avait publié une enquête recen­sant les témoi­gnages de plu­sieurs per­sonnes ayant été vic­times de « SIM hijacking ».

24 millions de dollars de crypto-monnaies dérobés

M.Terpin indique que son numé­ro de télé­phone a été détour­né à deux reprises : en juin 2017 puis en jan­vier 2018.

L’un de ses comptes de tra­ding – qui conte­nait, selon ses dires, 24 mil­lions de dol­lars de cryp­to-mon­naies – aurait été pira­té suite au deuxième « SIM hija­cking ». Les pirates y seraient par­ve­nus mal­gré les ini­tia­tives d’AT&T, qui aurait ajou­té un niveau de sécu­ri­té sup­plé­men­taire au compte de M. Ter­per, après le pre­mier détour­ne­ment dont il avait été victime.

L’o­pé­ra­teur lui aurait ain­si assu­ré qu’il béné­fi­ciait d’un « haut niveau de sécu­ri­té » et d’une « pro­tec­tion spé­ciale », selon ce que déclare l’in­ves­tis­seur dans sa plainte.

« C’est comme si un hôtel don­nait une clé de chambre et une autre offrant l’ac­cès à son coffre-fort à un voleur qui pré­sen­te­rait une fausse pièce d’i­den­ti­té, afin qu’il dérobe les bijoux cachés dans ce coffre, qui appar­tiennent à son pro­prié­taire légi­time », peut-on lire dans la plainte.

« AT&T ne fait rien pour pro­té­ger ses près de 140 mil­lions de clients des fraudes à la carte SIM. Par consé­quent, AT&T est direc­te­ment cou­pable de ces attaques dans la mesure où elle sait que ses clients peuvent être vic­times de “SIM hija­cking”, et que les mesures de sécu­ri­té mises en place ne sont pas effi­caces. AT&T ne fait qua­si­ment rien pour pro­té­ger ses clients de telles fraudes, car cette entre­prise est trop grande pour s’en soucier ».

L’un des porte-paroles de la socié­té a décla­ré dans un e‑mail que celle-ci « contes­tait ces allé­ga­tions, et qu’elle était prête à se défendre devant les tri­bu­naux ».

Selon Ste­phen Pal­ley – un avo­cat qui n’est pas impli­qué dans cette plainte mais qui l’a étu­diée – il sem­ble­rait tou­te­fois qu’il y ait peu de chances pour que celle-ci fasse l’ob­jet d’un pro­cès, puisqu’AT&T a insé­ré une clause d’ar­bi­trage dans ses condi­tions d’utilisation.

Réfé­rence : Mother­board