Super l esim ( ou isim), avec un complice chez l opérateur, on peut cloner la SIM de son voisin en douce et intercepter ses sms de validations de paiements par carte bancaire ni vu ni connu…
Rien ne vaut la bonne vieille SIM envoyée par la Poste ou directement en boutique. En pavillon individuel, Il faut obligatoirement corrompre ou agresser le facteur pour intercepter le courrier du voisin pour lui piquer sa SIM envoyé par le complice chez l opérateur, ce qui sécurise quand même plus la livraison de la SIM.
Ne pas oublier que le smartphone est devenu l entrée de base dans toutes les opérations bancaires de base comme paiements, consultation compte, virements, etc
Quant à l’isim, si c est dans le SoC, j espère que ce n est pas de l émulation logicielle car c est une vraie passoire au niveau sécurité l émulation. Un soft ou un firmware, ça se change facilement.
Avec un complice chez l’opérateur on peut faire exactement la même chose même si la cible a une SIM classique. Car l’opérateur a bien dans sa base l’identifiant SIM de tous ces clients, et il est donc possible de le récupérer pour créer un clone.
De plus, deux téléphones différents avec la « même » carte SIM ne peuvent pas être enregistrés en même temps sur le réseau (même sur la même antenne et en ayant aussi cloné l’IMEI), donc la cible se rendrait rapidement compte du problème. Pour le côté « ni vu ni connu », on repassera…
C est pourtant pour cette raison que la simple validation par code SMS de virements bancaires et de paiements CB n est plus autorisé dans l Union européenne. Il faut une validation dans l appli bancaire ce qui nécessite du coup d être en possession du téléphone de la victime en plus de sa carte SIM.
Pour virer 3000 euros d un compte bancaire, que ce soit en SEPA ou via une CB, s il suffit d un simple SMS reçu sur une nouvelle carte SIM usurpée d un voisin, ça intéressera quelques truands même si le titulaire officiel se rend compte du problème 1 ou 2 heures après car c est déjà trop tard pour un virement ou un paiement CB.
Par ailleurs, sans complicité locale dans le bureau de poste concerné à la Poste, il est quasiment impossible d intercepter du courrier destiné à un tiers sauf peut être si la cible et l escroc ont leurs boites aux lettres dans le même immeuble.
Pour une esim, tout se fait à distance et la simple complicité interne chez l opérateur suffit. C est infiniment plus facile à « pirater « , pas de courrier à intercepter.
Et non, on ne peut pas créer de clone de carte SIM physique à partir d une carte vierge programmable dans laquelle on entrerait l IMSI, les clés privées, etc, ça, c était il y a 20 ans. Il y a belle lurette que les failles de sécurité qui permettaient ces manips ont été bouchées.
La SIM physique sera probablement remplacée par un identifiant/mot de passe que te fournira ton opérateur, je ne vois pas en quoi ça serait compliqué à changer on s’évitera même la dilatation des 10€ pour avoir une nouvelle SIM en cas de changement d’opérateur ou de devoir trouver un trombone ou autre pour arriver à sortir la SIM.
Je n’y vois pour le moment que des avantages pour le coup.
Dans ce cas, pourquoi est ce que la double authentification par SMS ou appli mobile est devenue obligatoire dans de nombreux services ?
Peut être parce que le duo login / mot de passe n est pas assez fiable.
Une carte SIM, c est un processeur capable d interagir en local avec l utilisateur, de bloquer la carte SIM en cas de multiples entrées de code PIN, de verrouiller les accès aux clés privées de la SIM, d authentifier la connexion avec un chiffrage fort, tout ça en local. Sans aucun accès Internet.
Bref, la même chose que la carte bancaire. Infiniment plus fiable qu un accès distant à un service qui peut être facilement hacké.
C’est bien plus à cause du risque en cas de vol du mobile qu’à cause du risque de clonage de carte SIM. Aujourd’hui si tu voles le sac de quelqu’un, tu as de fortes chances d’avoir dedans son téléphone et sa CB, donc de pouvoir faire des paiements en ligne si la confirmation se fait par un simple SMS (énormément de gens ne désactivent pas l’affichage des SMS sur l’écran de verrouillage du téléphone… sans parler de tous ceux qui ne mettent même pas de verrou du tout…).
L’appli bancaire, c’est plus sûr, parce qu’avoir le téléphone ne suffit pas, l’application fait une vraie authentification (elle demande un mot de passe ou une empreinte digitale), être simplement en possession du téléphone de quelqu’un ne peut pas suffire, contrairement à la validation par SMS.
Si tu as une complicité chez l’opérateur, il peut te faire envoyer une nouvelle carte SIM directement chez toi plutôt que chez le titulaire de la ligne et te l’activer. C’est pas plus compliqué qu’avec l’eSIM.
En fait, c’est peut-être même plus simple : avec la procédure normale des opérateurs, un simple employé ne PEUT PAS te regénérer le QR pour faire un clone de la eSIM, il ne pourra que t’en créer une nouvelle. Or l’activitation d’une nouvelle eSIM sur une ligne existante nécessite en plus du QR code un code envoyé par SMS sur l’ancienne SIM/eSIM… Un complice interne pourra peut-être te permettre de bypasser cette opération, mais au final c’est pas spécialement plus simple que de t’envoyer une SIM chez toi, et c’est pas forcément plus discret (pas sûr qu’il puisse empêcher l’envoi du code d’activation…).
Vu le nombre de sites qui vendent des pass pour ouvrir les boîtes aux lettres, intercepter le courrier de quelqu’un n’est vraiment pas si compliqué que ça…
Il n y a pas de système parfait, je suis d accord.
Mais pour avoir travaillé 19 ans chez un opérateur mobile à trois lettres, je me souviendrais toujours d un discours du DG disant un jour aux salariés que la majorité des fraudes des clients de l opérateur étaient réalisées avec des complicités internes et que c était certains salariés eux même qui organisaient le trafic. Suite à ce discours il y a eu une vingtaine de licenciements avec des plaintes au tribunal.
Il y avait de tout, des chargés de clientèle qui activaient des options gratuitement à des amis, ou plus grave qui activaient des options réservées aux autorités comme l option police qui permet l affichage du numéro même masqué de l’appelant et bien sur des ouvertures frauduleuses de lignes ( surtout le samedi soir avec des appels à l étranger passés tout le dimanche suivant )
Bon c’était il y a 15 ans mais ça n a pas dû foncièrement changer.
Normalement, pour éviter les fraudes, les modifications d informations dites sensibles comme les adresses postales ou identités bancaires sur les comptes des abonnés ne peuvent être validées que par un manager qui s assuré du bien fondé de l opération.
C est pour ça que pour l esim, j espère que toutes les protections sont prises en interne chez les opérateurs car ce sont chez les salariés internes qu il y aura le plus de tentatives de magouilles et de fraudes.
Il faut quand même savoir précisément quand arrive le courrier en question et suivant la configuration du lieu, c est tout sauf discret pour peu que la boîte aux lettres soit visibles de plusieurs fenêtres ou de vidéosurveillance.
En pavillon, c est loin d être simple. Les banques envoient les cartes bancaires et les chéquiers en courrier simple l ça montre que c est quand même assez fiable, sinon, ce serait des recommandés avec AR systématiques.
Il n’y a absolument pas besoin de modifier l’adresse du titulaire pour qu’un complice en interne t’envoie sa SIM chez toi. Il suffit qu’il prenne la SIM dans le stock, comme pour une remise directe en magasin et te l’envoie manuellement…
Non ce n’est pas fiable. C’est pour ça que pour la CB, on te l’envoie non activée, et pour pouvoir l’activer il faut soit le PIN soit une connexion à l’espace client de ta banque. Et pareil pour les chéquiers désormais, ma banque me demande de les activer, je dois me connecter à l’espace client et saisir le numéro du premier chèque du carnet.
Perso les courriers et colis non reçus (et en particulier des colis dont le suivi mentionne pourtant bien une livraison effectuée dans la BAL), c’est plusieurs fois par an, et ce malgré le panneau « Vidéo surveillance » et les deux fausses caméra que j’ai installées dans le hall d’entrée de l’immeuble…
Ouvrir une boîte, ça prend 30s, et même si quelqu’un te vois, ça ne lui paraitra pas forcément louche (tu as ouvert la boîte avec une clé, ça semble normal…).
Ça dépend des banques. Il y en a plein qui envoient les CB non activées et le code PIN le lendemain dans un autre courrier. Pour les chéquiers, c est la première fois que j entends que des chéquiers sont envoyés désactivés et je n en vois pas l intérêt. Au moment de payer avec un chèque, il n y a aucun contrôle électronique dans l immense majorité des cas, sauf l’identité avec la CNI ou le passeport.
Chèque activé ou pas, le commerçant ne peut pas le savoir et l’acceptera si on présente une pièce d identité valide.
Pour les boites aux lettres, vous pouvez très bien mettre une boîte aux lettres non conforme avec impossibilité de l ouvrir avec un passe standard si on vous pique les colis et le courrier régulièrement. Il y a des millions de foyers qui n ont pas de boites aux lettres validées par la Poste, trop petites, anciennes, et on ne le leur dire rien. Le modèle standard n’a rien d obligatoire.
Mais encore une fois, ce genre de chose se gère bien plus facilement en pavillon individuel où l’on installe sa boîte seul qu en immeuble où il faut passer par la copropriété.
J habite en maison dans un village et je n ai jamais eu le moindre problème de colis ou de lettre et ici tout le monde connaît le facteur. Ça n a rien à voir avec un immeuble dans une grande ville où personne ne se connaît.
Bah ça sera simplement pareil, le couple login mot de passe, le contrôle du compte se fera directement sur ton compte.
L’authentification forte sera pareil, le contrôle se passera au travers de ton compte bref tout ce qu’on sait déjà faire aujourd’hui…
Pour les constructeurs, un tiroir en moins c’est toujours mieux pour économiser des couts de production.
En revanche les opérateurs facturent 10€ l’envoi de la SIM lors d’un nouvel abo.
Et ça, ça rapporte bcp
C’est une blague ! C’est pas un commentaire au 1er degré !
J’ai posté ce commentaire parce que iSim commence par la lettre i, et comme les produits apple c’est iPhone, iMac, iPod, iTousCeQueVousVoulez… j’ai posté cette blague :
J’ai déjà eu des problèmes, avec des téléphones. Pour trouver ce qui ne marchait pas, après toute une batterie de tests, me restait qu’à tester la SIM. J’avais un tout petit téléphone, avec juste une fenêtre, pour lire les SMS. J’ai mis la SIM dedans et j’ai essayé de téléphoner. Ça a marché. Avec une E-SIM ou I-SIM, j’aurais pu faire ça ?
Si je casse mon téléphone et que celui-ci n’a que l’une des deux cartes citées plus haut, je fais comment, pour utiliser mon téléphone de secours ?
Et il ne s’agit pas d’appeler la police ou les meds, mais aussi, par exemple son employeur, car de nos jours (et même avant), les patrons virent vite !
Je suis contre intégration des cartes téléphoniques, que ça soit dans le proc ou dans la carte mère : ça doit rester amovible, afin de rester polyvalent.
Évidemment, et vous avez parfaitement raison. La carte SIM , c est l un des piliers de base du GSM sorti en 1992. Ça a été une révolution à l’époque. A l’époque les américains galéraient avec leurs téléphones portables sans carte SIM de type AMPS ou CDMA enregistrés en direct sur les réseaux mobiles. Sans parler des nombreux piratages qui ont eu lieu à l’époque.
Accepterait on que l on supprime les cartes bancaires pour les intégrer dans les smartphones ? Même si certains gogos tombent dans le piège et se retrouvent mis en cause par leur établissement bancaire en cas de piratage, la carte bleue doit rester indépendante et séparée. C est la responsabilité de la banque car la carte bancaire lui appartient. Ça a été rappelé par les tribunaux encore récemment.
