Pirater un téléphone dès la sortie de sa boîte : hélas, ce n’est pas un scénario futuriste, mais une menace bien réelle qui touche déjà des milliers de Français. 5 500 numéros concernés chez nous, et une campagne mondiale de piratage s’appuyant sur un malware insidieusement préinstallé sur des smartphones de grandes marques… Voilà de quoi réviser (vite) nos réflexes de cybersécurité !
De quoi parle-t-on ? Des numéros piratés via un malware déjà présent sur les mobiles
Des milliers de numéros de téléphone ont récemment été dérobés dans plusieurs pays, dont la France, la Russie, l’Indonésie, la Thaïlande et d’autres États européens. Le coupable ? Un malware qui n’attend même pas que vous ayez téléchargé une appli obscure : il est installé d’origine sur certains modèles Android. Pas très fair-play. Selon une enquête de Trend Micro, ce sont des modèles signés ZTE, Meizu, Oppo, Huawei et HTC qui ont été plus particulièrement ciblés dans l’Hexagone, totalisant 5 500 victimes françaises.
Mais comment ce piratage fonctionne-t-il exactement ?
Pour comprendre le mécanisme, plongeons dans les arcanes du SMS PVA. Derrière ce nom barbare (« Phone Verified Accounts »), se cachent des services qui fournissent des numéros de téléphone alternatifs à des clients pour s’inscrire (discrètement) sur des plateformes et services en ligne. Le but inavoué : contourner les vérifications par SMS qui, en principe, permettent d’authentifier l’ouverture de nouveaux comptes. Ingénieux… ou dangereux, selon le point de vue.
Les hackers exploitent un botnet sophistiqué pour détourner ces numéros, les valider à la chaîne et effectuer des inscriptions anonymes, grâce à des téléphones Android infectés – notamment par le malware baptisé « Guerilla ». Voici le mode opératoire :
- Le botnet vole des numéros de téléphone sur les appareils infectés.
- Ces numéros sont alors utilisés pour créer des comptes en ligne, jetables ou vérifiés, mais souvent à des fins frauduleuses.
- L’authentification à double facteur – pourtant censée protéger – est elle-même détournée via le SMS intercepté par le malware.
- Résultat : des comptes « vérifiés » prolifèrent sur Internet, alors qu’ils sont créés à des fins malveillantes.
« Il pourrait y avoir des comptes authentifiés et vérifiés, mais frauduleux sur des plateformes », déclare ainsi un spécialiste de Trend Micro, histoire de faire monter la tension d’un cran.
Des techniques discrètes… pour des attaques qui durent
La prouesse technique de tout ce petit monde ? Rester invisible. Les pirates utilisent des proxys, des VPN, et limitent la collecte d’informations aux seuls SMS nécessaires pour que le malware reste discret et poursuive ses œuvres en cachette pendant des périodes prolongées. L’attaque n’a donc rien d’un feu de paille : elle s’installe dans le temps, lente et sournoise, jusqu’à ce que la brèche soit repérée.
Fait inquiétant : cela pourrait indiquer que certains hackers ont réussi à s’introduire jusque dans la chaîne de production de téléphones, y insérant le malware… avant même que le smartphone n’atterrisse dans votre poche.
Pourquoi ces attaques ? Les vraies conséquences pour vous et pour le web
Alors, pourquoi tant d’efforts ? Les motivations sont à la hauteur des moyens employés :
- Diffusion de fake news grâce à des comptes jetables ou anonymes, rendant le traçage difficile.
- Transactions en ligne suspectes : en liant les numéros piratés à des services de paiement, il devient possible de procéder à des achats ou transferts de façon totalement dissimulée.
L’ampleur du piratage, de la Russie à la France, met en évidence la fragilité des systèmes d’authentification actuels quand une chaîne aussi essentielle que le numéro de téléphone est compromise.
La conclusion ? Aujourd’hui, même un téléphone flambant neuf n’est plus synonyme de sécurité numérique. Redoubler de vigilance, surveiller ses appareils et rester alerte face à l’apparition d’activités ou de comptes inconnus liés à son propre numéro : c’est devenu – hélas – le minimum syndical pour éviter les écueils de cette nouvelle ère de piratage. Voilà qui donne envie de ressortir son vieux téléphone à clapet… ou au moins de planifier la prochaine mise à jour de sécurité !
