Les attaques basées sur un appareil appelé “SMS Blaster” font des ravages. Pour tromper leurs cibles, les arnaqueurs utilisent un appareil (généralement caché dans une voiture) qui brouille le signal légitime des opérateurs pour se connecter aux smartphones à proximité, les forcer à passer à la 2G, puis utiliser les failles de cette technologie pour envoyer des SMS frauduleux en masse. Ensuite, le SMS peut piéger les cibles, en évoquant, par exemple, en amende qu’il faut payer via un lien frauduleux. Et si les cibles se font piéger par ce lien (dont la page ressemble à un site officiel), ils peuvent perdre de l’argent ou envoyer des informations sensibles.
En Suisse, le phénomène prend de l’ampleur. Selon un article de RTS, par exemple, une quarantaine de personnes auraient perdu plus de 284 000 euros, dans le canton de Vaud, à cause de ce type d’arnaque. Dans le canton de Bâle-Campagne, la police a pu arrêter un suspect et confisquer le SMS Blaster qu’il a utilisé. Des spécialistes en cybersécurité auraient estimé que, rien qu’en une journée, cet appareil a touché environ 100 000 smartphones.
Au Canada, la police de Toronto a aussi arrêté un groupe de personnes accusé d’avoir mené des campagnes d’arnaque au SMS Blaster. Et le mode opératoire est le même. “Une fois activé, il incite les téléphones portables à proximité à se connecter à lui plutôt qu’à un véritable réseau. Une fois la connexion établie, l’appareil envoie des SMS frauduleux qui semblent provenir d’organismes de confiance, tels que des banques ou des fournisseurs de services. Ces messages contiennent souvent des liens redirigeant les utilisateurs vers de faux sites web conçus pour dérober des informations personnelles, financières ou d’identification — une tactique communément appelée « smishing »”, explique la police de Toronto.
La 2G, un maillon faible
Pour sécuriser ses utilisateurs, Google passe déjà à l’action. Certains modèles sous Android incluent déjà une fonction qui permet de désactiver la 2G. “[…] même si l’opérateur de l’utilisateur ne maintient plus l’infrastructure 2G. L’appareil de l’utilisateur est toujours compatible avec la recherche et la connexion aux stations de base 2G. Il reste donc vulnérable à une attaque par rétrogradation 2G s’il ne désactive pas la 2G sur son appareil”, lit-on dans la documentation d’Android.
Par ailleurs, cette année, Google prend des mesures supplémentaires. Celui-ci vient d’annoncer (en marge de l’événement The Android Show) une fonctionnalité qui permet aux opérateurs de désactiver la 2G par défaut sur les appareils de leurs clients.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
