Le piratage FTX : le mystère non résolu de l'échange de cartes SIM

Le ministère de la Justice a récemment, discrètement, dévoiléun acte d'accusation que certaines plateformes médiatiques grand public et Crypto ont rapidement repris et signalé comme des accusations qui « résolvaient » le mystère d'un vol de 400 millions de dollars de Cryptomonnaie précédemment détenue par la crypto-bourse effondrée FTX.

L'acte d'accusation ne portait pas sur ce point. Il reflète néanmoins une préoccupation réglementaire et économique croissante à laquelle sont confrontées les sociétés de Cryptomonnaie , tant onshore qu'offshore. La fraude par « SIM swap » qui aurait ciblé FTX en novembre 2022 est un outil de « piratage » presque rudimentaire – ONE sur l'usurpation d'identité et l'usurpation d'identité d'un titulaire de compte financier – qui cible principalement les entreprises qui offrent à leurs clients et titulaires de comptes des protections de Politique de confidentialité de plus en plus archaïques à deux ou plusieurs facteurs (respectivement « 2FA » et « MFA »).

Aux États-Unis, les régulateurs fédéraux sont de plus en plus conscients des dangers posés par les systèmes reposant sur des procédures de protection de la Politique de confidentialité vulnérables aux échanges de cartes SIM. La Commission fédérale des communications (FCC) travaille à l'élaboration de nouvelles règles, tandis que les récentes réglementations de la SEC en matière de cybersécurité obligeront probablement les entreprises à renforcer leur protection de la Politique de confidentialité face à cette menace spécifique. La SEC est d'ailleurs d'autant plus motivée aujourd'hui, compte tenu de son récent fiasco en matière d'échange de cartes SIM.

De nouvelles accusations et les pirates de FTX

Le 24 janvier 2024, le bureau du procureur des États-Unis pour le district de Columbia a rendu public un acte d'accusation intitulé « États-Unis contre Powell et al. », suite à l'arrestation de certains des accusés cités dans cette affaire. Robert Powell, Carter Rohn et Emily Hernandez auraient collaboré pour obtenir des informations personnelles d'identification (IPI) volées à plus de 50 victimes.

Le trio a ensuite utilisé ces informations volées pour créer de faux documents d’identité dans le but de duper les fournisseurs de télécommunications afin qu’ils échangent le compte de téléphone portable de la victime du vol d’identité contre un nouvel appareil détenu par les accusés ou par des « co-conspirateurs » anonymes à qui le trio d’accusés a vendu des PII volées.

Ce stratagème repose sur la réattribution du numéro de téléphone de la victime à un téléphone physique contrôlé par un criminel, ce qui implique le transfert du numéro de la victime (et, par conséquent, de son identité) vers la carte SIM (Subscriber Identity Module) physiquement présente dans le nouvel appareil du criminel. On parle alors d'échange de carte SIM.

Par le biais du système d'échange de cartes SIM allégué dans l'affaire États-Unis c. Powell, les accusés et des complices anonymes ont frauduleusement incité des fournisseurs de télécommunications à réattribuer les numéros de téléphone portable de la carte SIM de l'utilisateur légitime à celle contrôlée par les accusés ou ces complices anonymes. L'échange de cartes SIM a ensuite permis au trio Powell et à d'autres d'accéder aux comptes électroniques des victimes auprès de diverses institutions financières afin d'y voler des fonds.

Le principal avantage du SIM swap pour les accusés résidait dans la possibilité d'intercepter, sur les nouveaux appareils frauduleux, les messages provenant de ces comptes financiers, cherchant à s'assurer que la personne accédant au compte était bien le titulaire légitime. Normalement, en l'absence de fraude, cette authentification se fait par l'envoi d'un SMS ou d'un autre message à l'utilisateur légitime, qui authentifie ensuite la tentative d'accès au compte en fournissant un code inclus dans le SMS ou le message. Dans ce cas, cependant, ce code Secret est parvenu directement aux fraudeurs, qui l'ont utilisé pour se faire passer pour le titulaire du compte et retirer des fonds.

Bien que l'acte d'accusation de Powell ne mentionne pas FTX comme victime, les allégations entourant le plus important incident de fraude par échange de cartes SIM décrit dans l'acte d'accusation font clairement référence au « piratage » de FTX survenu au moment de l'annonce publique de la faillite de cette société. Les dates, heures et montants correspondent aux informations publiques concernant ce piratage, et les médias ont confirmé, par des sources internes à l'enquête, que FTX est bien la « Victime Entreprise 1 », telle que décrite dans Powell. Au moment du piratage de FTX, de nombreuses spéculations allaient bon train quant à l'identité des auteurs : un coup monté de l'intérieur, des régulateurs gouvernementaux obscurs ?

Sur le même sujet : Le mystère du piratage de FTX est peut-être résolu : les États-Unis accusent trois personnes de vol, dont une attaque infâme contre une plateforme d'échange de Crypto.

De nombreux titres d'articles reprenant l'acte d'accusation de Powell affirment que le mystère est résolu : les trois accusés ont commis le piratage de FTX. Or, l'acte d'accusation suggère le contraire. Si l'acte d'accusation désigne les trois accusés nommément et spécifiquement dans les allégations de vol d'informations personnelles, de portage de numéros de téléphone portable vers une carte SIM obtenue frauduleusement et de vente de codes d'accès FTX dérobés, il omet notamment toute référence aux trois accusés lorsqu'il décrit le vol effectif des fonds FTX.

Il est plutôt indiqué que « des co-conspirateurs ont obtenu un accès non autorisé aux comptes [FTX] » et « ont transféré plus de 400 millions de dollars en monnaie virtuelle des portefeuilles de monnaie virtuelle [de FTX] vers des portefeuilles de monnaie virtuelle contrôlés par les co-conspirateurs ». La convention pour la rédaction des actes d'accusation est de nommer les accusés pour les actes commis par eux-mêmes. Ici, ce sont les « co-conspirateurs », anonymes, qui ont pris les mesures finales et les plus importantes. Le mystère entourant l'identité de ces « co-conspirateurs » demeure entier et pourrait perdurer jusqu'à ce que de nouvelles accusations soient abandonnées ou qu'un procès révèle davantage d'éléments.

Échanges de cartes SIM, régulateurs et risques commerciaux

L'affaire FTX met en lumière la prise de conscience croissante, parmi les procureurs et les régulateurs, de la facilité et de la prévalence des systèmes d'échange de cartes SIM. La lecture de l'acte d'accusation de Powell n'est pas sans rappeler ONEune des centaines d'actes d'accusation pour vol de cartes de crédit que les procureurs fédéraux et étatiques poursuivent chaque année. En matière de fraude, l'échange de cartes SIM est une pratique peu coûteuse, simple et courante. Mais pour les criminels, elle fonctionne.

L'échange de cartes SIM résulte en grande partie des vulnérabilités des protocoles antifraude et d'identification des opérateurs de télécommunications, ainsi que de la faiblesse relative des procédures antifraude et de vérification d'identité, utilisées par défaut par de trop nombreux fournisseurs de services en ligne, notamment les sociétés de services financiers. Récemment, en décembre 2023, la Commission fédérale des communications (FCC) a publié une directive.Rapport et ordonnanceAdopter des mesures visant à remédier aux vulnérabilités des opérateurs mobiles en matière d'échange de cartes SIM. Le rapport et l'ordonnance exigent des opérateurs mobiles qu'ils utilisent des méthodes sécurisées d'authentification des clients avant tout changement de carte SIM, tel que décrit dans l'acte d'accusation de Powell, tout en veillant à préserver la relative facilité dont bénéficient les clients lors du transfert légitime d'un numéro de téléphone vers un nouvel appareil. Face à la prise de conscience croissante de la facilité avec laquelle les auteurs d'échange de cartes SIM exploitent l'authentification multifacteur (AMF) de base et l'authentification à deux facteurs (2FA), moins sécurisée,notamment sur les rails de messagerie SMS non sécurisés, cet équilibre continuera de poser des défis aux télécommunications et aux fournisseurs de services – y compris les sociétés de Crypto – qui en dépendent.

Sécurité des Crypto

Les fournisseurs de services sans fil ne sont pas les seuls à faire l'objet d'une surveillance accrue en lien avec les allégations de l'acte d'accusation de Powell. Cette affaire est également riche d'enseignements et d'avertissements pour le secteur des Crypto .

Même si les accusés dans l'affaire Powell n'étaient pas ceux qui ont effectivement accédé aux portefeuilles FTX et les ont épuisés, ils auraient fourni les codes d'authentification nécessaires, obtenus grâce à un système d'échange de cartes SIM relativement simple (comme on le prétend). Dans le contexte du nouveau régime de cybersécurité de la SEC, cette affaire souligne la nécessité pour les plateformes d'échange opérant aux États-Unis de développer des processus d'évaluation et de gestion des risques de cybersécurité, y compris les piratages informatiques du type de ceux perpétrés dans l'affaire FTX. Compte tenu de l'expérience de la SEC elle-même,en tant que victime d'une récente attaque par échange de carte SIM, nous pouvons nous attendre à ce que la Division de l'application de la loi accorde une plus grande attention aux attaques par échange de cartes SIM contre les plateformes d'échange.

Cela pourrait désavantager les bourses offshore qui échappent à la surveillance de la SEC ou d'autres organismes de réglementation. Les exigences de la SEC concernant la Déclaration de transparence régulière d'informations sur la gestion des risques de cybersécurité, la stratégie et la gouvernance, associées à un audit externe, garantissent que les clients et les contreparties comprennent les mesures prises par ces entreprises pour atténuer les risques d'un événement de type FTX. Les entreprises offshore pourraient adopter des approches tout aussi transparentes en matière de divulgation de cybersécurité, mais cela supposerait une propension à la transparence de la part d'entreprises potentiellement allergiques à cette notion, comme l'était FTX. Les entreprises et projets Crypto peuvent s'attendre à une pression accrue, de la part des régulateurs et du marché, pour adopter, divulguer, démontrer et maintenir des pratiques de cybersécurité à un niveau bien supérieur à celui qui permet à des fraudeurs rudimentaires, comme les accusés dans l'affaire Powell, de s'enfuir avec des millions.