50 clients d'une banque française touchés par du SIM swapping

La police française a arrêté un étudiant en stage à la Société Générale, accusé d'avoir aidé des fraudeurs de cartes SIM à escroquer 50 de ses clients.

Selon un rapport du Parisien, le stagiaire aurait aidé les fraudeurs à détourner plus d'un million d'euros des comptes des clients en leur fournissant les informations bancaires de ces derniers.

Le stagiaire anonyme, qui serait étudiant en master dans une école de commerce, travaillait au siège de la banque, boulevard Haussmann à Paris. Selon les rapports, il a profité de son poste à la Société Générale pour partager des informations sensibles avec un réseau de complices, dont un spécialiste de l'échange de cartes SIM ("SIM swapping").

Dans une démonstration classique du fonctionnement d'une attaque par échange de cartes SIM, les fraudeurs ont contacté des opérateurs de téléphonie mobile en prétendant être des clients de la Société Générale qui avaient perdu leur téléphone, utilisant des informations personnelles prétendument fournies par l'initié pour inciter l'opérateur mobile à transférer le numéro de téléphone de la victime sur une carte SIM en possession des pirates.

Désormais "propriétaires" du numéro de téléphone, les fraudeurs ont pu s'introduire dans les comptes de leurs victimes en utilisant des codes de sécurité à usage unique envoyés par la Société Générale aux numéros de téléphone mobile, dérobant au final plus d'un million d'euros.

Comme le rapporte CommsRisk, des complices présumés du stagiaire ont été identifiés, notamment un couple trouvé en possession d'une somme d'argent non précisée et de 15 sacs à main de luxe, soupçonné d'avoir blanchi le produit de la fraude, ainsi qu'un homme de 24 ans soupçonné d'avoir créé de fausses cartes d'identité pour le compte du gang.

Bien que la Société Générale se soit efforcée de souligner au public que les victimes avaient été remboursées pour tout l'argent dérobé dans le cadre de la fraude, des questions seront indéniablement posées sur les mesures prises pour contrôler les stagiaires avant de leur confier des données aussi sensibles.

En outre, les clients de la banque voudront savoir si des mesures suffisantes sont prises pour empêcher les utilisateurs non autorisés d'accéder à des informations personnelles sensibles concernant leurs comptes, et si des mesures suffisantes sont prises pour renforcer la sécurité à l'avenir.

Comme nous l'avons déjà mentionné, les risques les plus importants tournent parfois autour de la menace interne - y compris le personnel qui « souhaite passe à l'action ». Les entreprises seraient bien avisées de ne pas concentrer toute leur attention sur les pirates externes à distance, mais d'examiner également les mesures de protection qu'elles peuvent mettre en place pour contrôler correctement le comportement du personnel qui a reçu un accès privilégié à des informations à l'intérieur de l'organisation.

La semaine dernière, on a appris que la police avait perquisitionné les bureaux de la Société Générale à Paris et au Luxembourg, dans le cadre d'une enquête sur la fraude fiscale et le blanchiment d'argent. On ne sait pas si ces perquisitions sont liées à l'enquête sur l'échange de cartes SIM.