Utiliser les données personnelles dérobées à une personne pour échanger sa carte SIM, et contourner les authentification à double facteur : la technique est en plein essor chez les pirates informatiques. Au Royaume-Uni, une lourde condamnation pour un délit de ce type est tombée : 20 mois de prison pour un adolescent de 19 ans, qui a également obligation de rembourser toutes les sommes indûment gagnées.
En avril 2018, à Norwich, au Royaume-Uni, la police effectue une visite de routine au domicile d’Elliot Gunton, 18 ans à l’époque. Le jeune homme, suite à une ordonnance de prévention des atteintes sexuelles remontant à 2016, n’avait le droit de posséder un ordinateur que si la police pouvait le vérifier à tout moment. Il lui était également interdit d’effacer ses historiques Internet, d’utiliser de VPN, d’outil de chiffrement ou le réseau TOR.
L’échange de carte SIM, nouvelle mode des hackers du monde entier
En vérifiant son ordinateur, les forces de l’ordre se sont aperçues qu’il avait fait bien pire. Un logiciel spécialisé dans la récupération de données personnelles laissait entendre qu’il faisait peut-être partie d’un groupe de cybercriminels.
Des analyses plus poussées du PC ont révélé le pot-aux-roses : Elliot Gunton avait mis sur place un véritable réseau visant à livrer des packs de données personnelles à d’autres hackers informatiques, qui les utilisaient pour réaliser un échange de carte SIM.
Le principe de cette technique de piratage, apparue voici quelques mois et qui s’étend comme une trainée de poudre, est de disposer de suffisamment d’informations personnelles sur une personne pour réussir, en appelant son opérateur téléphonique, à se faire passer pour elle. Le pirate peut alors, s’il est doué, convaincre l’opérateur de faire passer le numéro de la victime sous son contrôle.
Un adolescent de Norwich, champion du monde du vol de données ?
C’est, ensuite, un jeu d’enfant de franchir les authentification à deux facteurs utilisant le téléphone de la personne. L’assaillant peut ensuite intercepter appels et SMS, réinitialiser tous les mots de passe et, surtout, accéder aux différents comptes de la victime, notamment ses portefeuilles de crypto-monnaie.
Et nul doute qu’Elliot Gunton avait dû devenir un champion du vol de données, car il avait amassé un joli pécule. Il était payé en crypto-monnaie, notamment en BitCoin, afin de dissimuler ses activités criminelles aux autorités judiciaires.
Des enquêteurs de police « à l’avant-garde des progrès technologiques »
« Gunton exploitait les données personnelles d’entreprises et de personnes innocentes dans le but de faire un profit considérable, mais il n’a pas réussi à cacher tous ses gains mal acquis qui nous ont permis de saisir des centaines de milliers de livres en Bitcoin », a affirmé le sergent-détective Mark Stratford, chargé de l’enquête.
« Ce nouveau type de criminalité exige des enquêteurs de police qu’ils soient à l’avant-garde des progrès technologiques afin de lutter efficacement contre une cybercriminalité toujours croissante » conclue l’enquêteur.
Un procès sans surprise, mais avec une lourde condamnation
Le vendredi 16 août 2019, Eliott Gunton a comparu devant la Cour de la Couronne de Norwich. Il a plaidé coupable des charges pesant contre lui, à savoir (attention, inventaire à la Prévert) : « piratage, blanchiment d’argent, piratage d’un compte Instagram australien, violation d’une ordonnance de prévention des atteintes sexuelles ».
Il a, sans surprise, était jugé coupable et condamné à 20 mois de prison, déjà effectués durant sa détention préventive – il n’avait pas été autorisé à recouvrer sa liberté suite à son arrestation. Il a été condamné à rembourser les sommes gagnées par son trafic de données, soit plus de 400 000 £ (436 640 €). Ce qui prouve que ses affaires étaient plus que lucratives…