Le hack FTX : le mystère non résolu de l'échange de cartes SIM

Le ministère de la Justice a récemment dévoilé discrètement un acte d'accusation que certaines plates-formes médiatiques grand public et Crypto ont rapidement repris et signalé comme des accusations qui ont « résolu » le mystère d'un vol de 400 millions de dollars de crypto- Cryptomonnaie précédemment détenu par l'échange cryptographique effondré FTX.

L’acte d’accusation n’était pas cela. Mais cela reflète une préoccupation réglementaire et économique croissante à laquelle sont confrontées les sociétés de Cryptomonnaie nationales et offshore. La fraude « SIM swap » qui aurait ciblé FTX, en novembre 2022, est presque un outil de « piratage » rudimentaire – ONE sur le vol d'identité et l'usurpation d'identité d'un titulaire de compte financier – qui cible en grande partie les entreprises qui proposent des services à deux ou plusieurs comptes de plus en plus désuets. -identification des facteurs (« 2FA » et « MFA », respectivement) protections de la Politique de confidentialité pour leurs clients et titulaires de compte.

Les régulateurs fédéraux américains sont de plus en plus conscients des dangers posés par les systèmes qui s'appuient sur des procédures de protection de la Politique de confidentialité vulnérables aux échanges de cartes SIM. La Federal Communications Commission cherche à établir de nouvelles règles, tandis que les récentes réglementations de la SEC en matière de cybersécurité obligeront probablement les entreprises à améliorer leur protection de la Politique de confidentialité face à cette menace spécifique. En effet, la SEC est d’autant plus motivée aujourd’hui, peut-être, compte tenu de son récent fiasco d’échange de cartes SIM.

Le 24 janvier 2024, le bureau du procureur des États-Unis pour le district de Columbia a descellé un acte d'accusation, intitulé États-Unis c. Powell, et al., à la suite de l'arrestation de certains des accusés nommés dans cette affaire. Comme allégué, Robert Powell, Carter Rohn et Emily Hernandez ont travaillé ensemble pour obtenir des informations d'identification personnelle (« PII ») volées sur plus de 50 victimes.

Le trio a ensuite utilisé ces informations volées pour créer de faux documents d'identification dans le but de duper les fournisseurs de télécommunications afin qu'ils échangent le compte de téléphone portable de la victime d'usurpation d'identité contre un nouvel appareil détenu par les accusés ou par des « co-conspirateurs » anonymes auxquels le trio des accusés vendu des informations personnelles volées.

Le système repose sur la réattribution du numéro de téléphone des victimes vers un téléphone physique contrôlé par un acteur criminel, ce qui implique le transfert ou le portage du numéro de la victime (et, essentiellement, de son identité) vers le module d'identité de l'abonné, ou « SIM ». ", carte physiquement détenue dans le nouvel appareil de l'acteur criminel. C'est ce qu'on appelle un système de « Swap SIM Swap ».

Par le biais du système d'échange de cartes SIM allégué dans l'affaire États-Unis c. Powell, les défendeurs et les co-conspirateurs anonymes ont frauduleusement incité les fournisseurs de télécommunications sans fil à réattribuer les numéros de téléphone portable de la carte SIM de l'utilisateur légitime à celui contrôlé par les défendeurs ou ces co-conspirateurs anonymes. L'échange de cartes SIM a ensuite permis au trio Powell et à d'autres d'accéder aux comptes électroniques des victimes auprès de diverses institutions financières pour voler des fonds sur ces comptes.

Le principal avantage pour les accusés de l'échange de cartes SIM était la possibilité d'intercepter sur les nouveaux appareils frauduleux les messages provenant de ces comptes financiers cherchant à authentifier que la personne accédant au compte était le titulaire légitime du compte. Normalement, lorsqu'aucune fraude n'est impliquée, cette authentification entraînerait l'envoi d'un SMS ou d'un autre message à l'utilisateur légitime, qui authentifierait alors la tentative d'accès au compte en fournissant un code inclus dans le texte ou le message. Dans ce cas, cependant, ce code Secret est allé directement aux fraudeurs, qui l'ont utilisé pour usurper l'identité du titulaire du compte et retirer des fonds.

Bien que l'acte d'accusation de Powell ne désigne pas FTX comme victime, les allégations entourant le plus grand incident de fraude par échange de carte SIM décrit dans l'acte d'accusation font clairement référence au « piratage » de FTX qui s'est produit au moment de l'annonce publique de la faillite de cette société – les dates, les heures. , et les montants correspondent aux rapports publics sur ce piratage, et les rapports des médias ont inclus la confirmation fournie par les initiés de l'enquête que FTX est, en fait, la « Victim Company-1 » comme décrit dans Powell. À l’époque du piratage de FTX, il y avait beaucoup de spéculations quant aux auteurs : travail interne, régulateurs gouvernementaux dans l’ombre ?

Sur le même sujet : Le mystère du piratage FTX peut-être résolu : les États-Unis accusent un trio de vol, y compris une tristement célèbre attaque contre Crypto Exchange

De nombreux titres d'articles qui ont repris l'acte d'accusation de Powell proclament que le mystère est résolu : les trois accusés ont commis le piratage de FTX. Mais l’acte d’accusation suggère en réalité le contraire. Alors que l'acte d'accusation décrit spécifiquement et nommément les trois accusés dans les allégations concernant le vol de données personnelles, le portage de numéros de téléphone portable vers une carte SIM obtenue frauduleusement et la vente de codes d'accès FTX volés, l'acte d'accusation omet notamment toute référence aux trois accusés. en décrivant le vol réel de fonds FTX.

Au lieu de cela, il raconte que « les co-conspirateurs ont obtenu un accès non autorisé aux comptes [FTX] » et que « les co-conspirateurs ont transféré plus de 400 millions de dollars en monnaie virtuelle des portefeuilles de monnaie virtuelle [de FTX] vers des portefeuilles de monnaie virtuelle contrôlés par les co-conspirateurs ». La convention dans la rédaction des actes d'accusation est de nommer les accusés dans les actions commises par les accusés. Ici, ce sont les « co-conspirateurs » anonymes qui ont pris les mesures finales et les plus significatives. Le mystère de l’identité de ces « co-conspirateurs » demeure vivant et pourrait perdurer jusqu’à ce que de nouvelles accusations soient abandonnées ou qu’un procès révèle davantage de faits.

L'affaire FTX met en évidence une prise de conscience croissante parmi les procureurs et les régulateurs de la facilité et de la prévalence des systèmes d'échange de cartes SIM. La lecture de l’acte d’accusation de Powell n’est pas sans rappeler la lecture de ONEune des centaines d’accusations de vol de cartes de crédit que les procureurs fédéraux et étatiques engagent chaque année. En ce qui concerne les fraudes, l’échange de cartes SIM est peu coûteux, simple et mécanique. Mais si vous êtes un criminel, ça marche.

L'échange de cartes SIM fonctionne en grande partie à cause des vulnérabilités des protocoles anti-fraude et d'identification des télécommunications, et à cause des procédures anti-fraude et de vérification d'identification relativement faibles utilisées par défaut par un trop grand nombre de fournisseurs de services en ligne, y compris les sociétés de services financiers. Récemment, en décembre 2023, la Federal Communications Commission a publié un rapport et une ordonnance adoptant des mesures conçues pour remédier aux vulnérabilités d'échange de carte SIM des fournisseurs de services sans fil. Le rapport et l'ordonnance exigent que les fournisseurs de services sans fil utilisent des méthodes sécurisées d'authentification des clients avant d'effectuer des modifications de carte SIM du type décrit dans l'acte d'accusation de Powell, tout en cherchant à maintenir la relative facilité dont bénéficient les clients lorsqu'ils transfèrent légitimement un numéro de téléphone vers un nouvel appareil. . Face à une prise de conscience croissante de la facilité avec laquelle les auteurs d'échanges de cartes SIM exploitent le MFA de base et le 2FA moins sécurisé, en particulier sur des rails de messagerie SMS non sécurisés , cet exercice d'équilibre continuera de poser des défis à la fois aux télécommunications et aux fournisseurs de services, y compris les sociétés de Crypto. – qui dépendent d’eux.

Les fournisseurs de services sans fil ne sont pas les seuls à faire l'objet d'une surveillance croissante liée aux allégations de l'acte d'accusation de Powell. L’affaire contient également des leçons et des avertissements pour l’industrie de la Crypto .

Même si les accusés dans l'affaire Powell n'étaient pas ceux qui ont réellement accédé aux portefeuilles FTX et les ont épuisés, ils auraient fourni les codes d'authentification pour ce faire, qu'ils ont obtenus grâce à un système d'échange de carte SIM assez basique (comme on le prétend). Dans le contexte du régime de cybersécurité naissant de la SEC, l'affaire souligne la nécessité pour les bourses opérant aux États-Unis de développer des processus d'évaluation et de gestion des risques de cybersécurité, y compris les « piratages » du type perpétré dans l'affaire FTX. Compte tenu de l'expérience de la SEC en tant que victime d'une récente attaque par échange de carte SIM , nous pouvons nous attendre à ce que la division Enforcement accorde une plus grande attention aux attaques par échange de carte SIM contre les bourses.

Cela pourrait désavantager les bourses offshore qui évitent la SEC ou toute autre surveillance réglementaire. Les exigences de la SEC concernant la Déclaration de transparence régulière d'informations concernant la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité – associées à un audit externe de celles-ci – garantissent que les clients et les contreparties peuvent comprendre les mesures que ces entreprises prennent pour atténuer les risques d'un événement de type FTX. . Les entreprises offshore peuvent adopter des approches tout aussi transparentes en matière de divulgation de cybersécurité, mais cela supposerait une tendance à la transparence de la part d’entreprises qui pourraient être quelque peu allergiques à cette notion – comme l’était FTX. Les entreprises et les projets de Crypto peuvent s’attendre à une pression accrue – de la part des régulateurs et du marché – pour adopter, divulguer, démontrer et maintenir des pratiques de cybersécurité à un niveau bien supérieur à celles qui permettent aux fraudeurs rudimentaires, comme les accusés dans l’affaire Powell, de s’enfuir. des millions.