L'énigme non résolue du piratage FTX : le vol de cryptomonnaies via carte SIM
TechFlow SélectionTechFlow Sélection
L'énigme non résolue du piratage FTX : le vol de cryptomonnaies via carte SIM
Que ce soit pour les entreprises de cryptomonnaies sur le territoire ou hors du territoire, elles font toutes face à des préoccupations croissantes d'ordre réglementaire et économique.
Dédié à des analyses Web3 approfondiesRédaction : Andrew Adams, Coindesk
Traduction : Wu Shuo Blockchain
Cet article présente l'acte d'accusation récemment publié par le Département de la Justice américain concernant une affaire de « hameçonnage de carte SIM », et affirme que les accusés dans cette affaire, notamment Powell, ne sont pas les auteurs du piratage de FTX. L'article aborde également les risques commerciaux liés au hameçonnage de carte SIM ainsi que les pressions réglementaires potentielles sur l'industrie des cryptomonnaies. Précédemment, Wu Shuo avait publié un article sur ce sujet intitulé « Impossible à prévenir complètement : pourquoi tant de comptes Twitter liés aux cryptomonnaies sont-ils piratés pour diffuser des liens de phishing ? Comment se protéger ? », qui expliquait les principes d'attaque et les mesures de prévention.
Récemment, le ministère américain de la Justice a discrètement levé le sceau d'un acte d'accusation, rapidement relayé par plusieurs médias traditionnels et spécialisés dans les cryptomonnaies, qualifiant cette affaire de clé permettant de « résoudre » une énigme de vol de cryptomonnaies d'une valeur de 400 millions de dollars, appartenant auparavant à l'exchange de cryptomonnaies FTX, désormais en faillite.
Toutefois, cet acte d'accusation n'est pas la pièce manquante qui résout l'énigme. Il révèle plutôt un fait : les entreprises opérant dans le secteur des cryptomonnaies, qu'elles soient basées aux États-Unis ou à l'étranger, font face à des préoccupations croissantes tant réglementaires qu'économiques. En particulier, la fraude par « hameçonnage de carte SIM » perpétrée contre FTX en novembre 2022 peut presque être considérée comme une méthode de piratage des plus élémentaires — reposant essentiellement sur le vol d'identité et l'usurpation de titulaires de comptes financiers, ciblant principalement les entreprises dont les systèmes de protection de la vie privée reposent sur des méthodes d'authentification double ou multifacteur (« 2FA » et « MFA ») devenues obsolètes.
Les régulateurs fédéraux américains accordent une attention croissante aux dangers potentiels des systèmes de protection reposant sur des procédures vulnérables au hameçonnage de carte SIM. La Federal Communications Commission (FCC) élabore actuellement de nouvelles règles, tandis que les dernières réglementations en matière de cybersécurité introduites par la Securities and Exchange Commission (SEC) pourraient obliger les entreprises à renforcer leurs mesures de protection contre cette menace spécifique. D'autant plus que la SEC elle-même a récemment été victime d'une attaque par hameçonnage de carte SIM, ce qui pourrait renforcer sa détermination à durcir la régulation dans ce domaine.
Nouvelles accusations et piratage de FTX
Le 24 janvier 2024, le bureau du procureur des États-Unis pour le district de Columbia a rendu public un acte d'accusation intitulé « États-Unis contre Powell et autres ». Selon ce document, Robert Powell, Carter Rohn et Emily Hernandez auraient collaboré pour dérober les informations d'identification personnelles (PII) de plus de 50 victimes.
Ces trois individus auraient ensuite utilisé ces informations volées pour fabriquer de faux documents d'identité afin de tromper des fournisseurs de télécommunications, transférant ainsi les numéros de téléphone des victimes vers de nouveaux appareils contrôlés par les accusés ou par des « complices non nommés ». Les accusés ont également vendu les PII ainsi obtenues.
Ce stratagème repose sur le transfert du numéro de téléphone de la victime vers un appareil physique contrôlé par les criminels, nécessitant de déplacer ou « transplanter » le numéro (qui constitue une identité) vers un module d'identité d'abonné (ou « SIM »), inséré dans le nouvel appareil des criminels. Ce type d'opération est connu sous le nom de « hameçonnage de carte SIM ».
Grâce au plan de hameçonnage de carte SIM décrit dans l'affaire « États-Unis contre Powell », les accusés et leurs complices non identifiés ont trompé les opérateurs de téléphonie mobile pour rediriger les numéros de téléphone depuis les cartes SIM légitimes des utilisateurs vers des cartes SIM contrôlées par les accusés ou leurs complices. Cela a permis à Powell et ses coaccusés d'accéder aux comptes électroniques des victimes auprès de diverses institutions financières et d'en retirer des fonds.
Le principal avantage du hameçonnage de carte SIM pour les accusés consiste à intercepter sur un nouvel appareil frauduleux les messages envoyés par ces comptes financiers, destinés à vérifier que la personne tentant d'accéder au compte est bien le titulaire légitime. Normalement, sans fraude, ce processus d'authentification entraîne l'envoi d'un SMS ou d'un autre message au véritable utilisateur, qui doit alors saisir un code reçu pour confirmer son accès. Or, dans ce cas précis, le code secret est directement transmis aux escrocs, qui l'utilisent pour usurper l'identité du titulaire du compte et encaisser les fonds.
Bien que l'acte d'accusation contre Powell ne mentionne pas FTX comme victime, l'incident de hameçonnage de carte SIM décrit comme le plus important dans ce document correspond manifestement au piratage de FTX survenu lors de la faillite publique de l'entreprise — la date, l'heure et le montant concordent avec les rapports publiés. Des médias ont même confirmé, grâce à des sources internes à l'enquête, que FTX était bien la « société victime n°1 » mentionnée dans l'acte d'accusation contre Powell. À l'époque du piratage de FTX, de nombreuses hypothèses circulaient quant à l'identité des coupables : un employé interne ? Une manipulation secrète des autorités réglementaires ?
De nombreux articles traitant de l'acte d'accusation contre Powell ont titré que l'énigme était résolue : les trois accusés auraient commis l'attaque contre FTX. En réalité, le contenu de l'acte d'accusation suggère exactement le contraire. Bien qu'il nomme précisément les trois accusés et détaille leur implication présumée dans le vol de données personnelles (PII), le transfert de numéros vers des cartes SIM frauduleusement obtenues, et la vente de codes d'accès à FTX, il omet curieusement de mentionner ces trois personnes lorsqu'il décrit le vol effectif des fonds de FTX.
Au contraire, on y lit que « des complices ont accédé sans autorisation au compte FTX » et que « ces complices ont transféré plus de 400 millions de dollars de cryptomonnaies depuis les portefeuilles virtuels de FTX vers des portefeuilles contrôlés par les complices ». Par convention, un acte d'accusation mentionne explicitement les noms des accusés lorsqu'ils sont impliqués dans une action. Ici, c'est un « complice non nommé » qui aurait accompli la dernière et la plus cruciale étape. L'identité de ces « complices » reste donc un mystère, qui pourrait perdurer jusqu'à de nouvelles inculpations ou jusqu'au procès, si davantage de faits venaient à être révélés.
Régulateurs et risques commerciaux
L'affaire FTX met en lumière la prise de conscience croissante des procureurs et régulateurs quant à la simplicité et la fréquence du hameçonnage de carte SIM. Lire l'acte d'accusation contre Powell ne diffère guère de la lecture de l'un des centaines de poursuites annuelles menées par les procureurs fédéraux et étatiques pour vols de cartes de crédit. Sur le plan de la fraude, le hameçonnage de carte SIM est peu coûteux, techniquement simple, et routinier. Mais pour un criminel, cette méthode fonctionne.
L'efficacité du hameçonnage de carte SIM découle largement des failles dans les protocoles antifraude des opérateurs télécoms et dans les procédures d'authentification souvent rudimentaires utilisées par défaut par de nombreux prestataires de services en ligne, y compris les institutions financières. Récemment, en décembre 2023, la Federal Communications Commission (FCC) a publié un rapport et une directive visant à corriger les vulnérabilités des opérateurs mobiles face au hameçonnage de carte SIM. Ce texte exige notamment que les opérateurs utilisent des méthodes d'authentification sécurisées avant d'effectuer un remplacement de carte SIM, comme décrit dans l'acte d'accusation contre Powell, tout en cherchant à maintenir la commodité offerte aux clients lors de changements légitimes d'appareil. Face à la reconnaissance croissante de l'exploitation par les fraudeurs des systèmes MFA basiques et des systèmes 2FA moins sûrs — notamment via les canaux SMS non sécurisés — cet équilibre restera un défi permanent pour les opérateurs télécoms et les prestataires de services qui en dépendent, y compris les entreprises de cryptomonnaies.
Sécurité des cryptomonnaies
Les fournisseurs de services mobiles ne sont pas les seuls à faire face à un contrôle accru lié aux accusations formulées dans l'acte d'accusation contre Powell. Cette affaire contient aussi des enseignements et des avertissements pour l'industrie des cryptomonnaies.
Même si les accusés dans l'affaire Powell ne sont pas ceux qui ont directement accédé et vidé les portefeuilles de FTX, ils auraient fourni les codes d'authentification utilisés, obtenus via un plan de hameçonnage de carte SIM relativement basique. Dans le contexte du cadre émergent de cybersécurité de la SEC, cette affaire souligne la nécessité pour les exchanges opérant aux États-Unis de mettre en place des processus rigoureux d'évaluation et de gestion des risques cybernétiques, y compris face aux types d'attaques qualifiées de « piratage » dans le cas de FTX. Étant donné que la SEC elle-même a récemment été victime d'une attaque par hameçonnage de carte SIM, on peut s'attendre à ce que son service de contrôle renforce sa vigilance sur les attaques ciblant les exchanges.
Cela pourrait désavantager les exchanges offshore qui échappent à la supervision de la SEC ou d'autres organismes de régulation. Les exigences de la SEC en matière de divulgation régulière d'informations sur la gestion des risques, les stratégies et la gouvernance en cybersécurité, combinées à des audits externes, garantissent que clients et contreparties puissent comprendre les mesures prises par ces entreprises pour atténuer les risques similaires à celui de FTX. Les sociétés offshore pourraient adopter des méthodes comparables de transparence, mais cela supposerait leur volonté d'être transparentes — or, certaines peuvent être réticentes à l'idée même de transparence, comme l'a montré FTX. Les entreprises et projets de cryptomonnaies devront s'attendre à une pression accrue, venant à la fois des régulateurs et du marché, pour adopter, divulguer, démontrer et maintenir des pratiques de cybersécurité nettement supérieures au simple niveau suffisant pour empêcher des fraudeurs basiques (tels que les accusés décrits dans l'affaire Powell) de s'enfuir avec des millions de dollars.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
CoinDesk
