Les authentifications à double facteur ne sont pas (contrairement à certaines croyances) totalement inviolables. Paul Ducklin, sur le blog Nacked Security (Sophos) nous explique comment deux escrocs natifs de Bombay et de Dehli sont parvenus à battre en brèche le système à double facteur cryptogramme/SMS qualifié d’ « authentification forte complémentaire » par les banques de notre pays.
La technique utilisée était simple : après une enquête portant sur l’environnement et les habitudes de la victime (données généralement achetées auprès de filières mafieuses Nigérianes), les escrocs usurpaient son identité pour pouvoir demander à son opérateur de téléphonie un double de sa carte SIM, en prétextant une perte involontaire. Carte, on s’en doute, interceptée dans la boîte à lettre du légitime propriétaire. Une fois en possession de ce sésame, les deux truands ouvraient un faux compte en banque au nom de la victime (récupérant au passage un nouveau cryptogramme) et se lançaient dans une course aux achats avant que le légitime propriétaire du téléphone ne s’aperçoive du blocage de sa carte Sim prétendument perdue. Et encore, précise Ducklin, à condition que l’opérateur télécom accepte d’intervenir. L’une des victimes s’est vue accuser d’escroquerie pas son épicier de la minute de communication pour avoir demandé un nouveau changement de SIM à un intervalle trop rapproché du précédent, changement qu’il aurait « lui-même » autorisé.
Ce schéma de fonctionnement, relativement simple, a permis aux deux escrocs de voler l’équivalent de 30 000 euros… « seulement » pourrait-on ajouter. Il est fort probable que de telles pratiques soient en usage en Europe, puisque des faits semblent remonter à plusieurs années et que l’enseignement de ces techniques passe généralement très rapidement les frontières.
