Attaque par échange de carte SIM pour voler 24 millions de dollars ! Un suspect de 21 ans a vidé les comptes des investisseurs en crypto

Nicholas Truglia, un résident de Manhattan âgé de 21 ans, est accusé d’avoir vidé le compte du crypto-investisseur Michael Terpin au moyen d’une attaque par échange de carte SIM, en utilisant un échange de cartes SIM, causant une perte de plus de 23 millions de dollars, tandis que lui-même fait face à 21 chefs d’accusation pour crimes graves. Le détail le plus largement diffusé de cette affaire ne concerne pas le montant considérable de l’argent volé, mais plutôt un tweet publié par le suspect lui-même : « Voler 24 millions, mais ne pas réussir à se faire des amis. »

Mécanisme d’une attaque par échange de carte SIM : vider un compte crypto en quelques heures

L’attaque par échange de carte SIM est une technique d’ingénierie sociale hautement ciblée. L’attaquant trompe ou corrompt le personnel du service client d’un opérateur télécom afin de transférer le numéro de téléphone de la victime sur une carte SIM contrôlée par l’attaquant. Une fois le contrôle du numéro de téléphone obtenu, l’attaquant peut utiliser la fonction « mot de passe oublié » et, via des codes de vérification par SMS, contourner l’authentification à deux facteurs (2FA), puis accéder aux comptes e-mail, aux plateformes d’échange et aux portefeuilles crypto.

Michael Terpin indique qu’il a subi une attaque par échange de carte SIM le 7 janvier 2018, et que des actifs cryptographiques d’une valeur de plus de 23 millions de dollars dans son compte ont été transférés en un temps extrêmement court. Par la suite, il a intenté une action en justice civile contre Truglia, déclarant : « J’ai déposé cette plainte afin qu’elle fasse partie de la poursuite continue de mes pertes liées au vol. »

L’auto-glorification du suspect : un profil complet révélé par une déclaration sous serment

La déclaration sous serment déposée par le précédent partenaire de Truglia, Chris David, consigne en détail les habitudes de vie et l’état psychologique du suspect pendant sa période de vol, fournissant une grande quantité de données de première main pour l’ensemble de l’affaire.

Détails clés consignés dans la déclaration sous serment de Chris David

Une vie matérielle luxueuse : montres Rolex, appartement à 6 000 dollars de loyer mensuel, 100 000 dollars en espèces laissés dans le placard

Se comparer à Robin des Bois : se décrit comme « prenant aux riches, sans donner aux pauvres »

Faire la promotion publique des attaques par échange de carte SIM : via le compte Twitter @erupts, se vante d’avoir mené une attaque par échange de carte SIM contre son père

Affirmer qu’il ne sera jamais arrêté : « Comment prouvent-ils que mon histoire est fausse ? Personne ne peut me mettre en prison, je suis prêt à parier ma vie. »

Autres actes consignés : David mentionne également dans sa déclaration sous serment que Truglia a l’habitude d’éviter de payer l’addition au restaurant

Parmi tous les détails, le plus marquant et durable est ce tweet : « J’ai volé 24 millions, mais je n’arrive toujours pas à me faire des amis. » Cette déclaration publique, empreinte d’autodérision, est finalement devenue une partie du dossier présenté au tribunal, et s’est aussi imposée comme un cas d’avertissement largement cité dans la communauté de la sécurité des cryptos.

Résultats de l’affaire et enseignements de long terme pour la sécurité crypto

Truglia a été arrêté à Manhattan en novembre 2018, puis extradé en Californie où il a fait face à 21 chefs d’accusation pour crimes graves. Son dossier est un exemple représentatif d’attaques précoces par échange de carte SIM visant des détenteurs d’actifs cryptographiques à forte valeur nette, et met également en lumière de façon saisissante la faiblesse fondamentale du mécanisme de vérification 2FA fondé sur les numéros de téléphone : l’attaquant n’a pas besoin de pirater un appareil, il lui suffit de contrôler un numéro de téléphone pour prendre le contrôle d’un grand nombre de comptes associés.

Cette affaire a amené la communauté crypto à discuter plus largement de la nécessité de mettre à niveau les solutions de vérification, poussant davantage d’utilisateurs et d’institutions à passer de la 2FA par SMS à des applications d’authentification (Authenticator App) ou à des clés de sécurité matérielles.

Questions fréquentes

Qu’est-ce qu’une attaque par échange de carte SIM, et pourquoi les actifs crypto sont-ils particulièrement vulnérables ?

Une attaque par échange de carte SIM est une technique d’ingénierie sociale dans laquelle l’attaquant trompe l’opérateur télécom afin de transférer le numéro de téléphone de la victime vers sa propre carte SIM. Comme la plupart des processus de réinitialisation des comptes des échanges crypto reposent sur des codes de vérification par SMS, il suffit d’obtenir le contrôle du numéro pour contourner entièrement la 2FA, faisant ainsi des actifs crypto une cible très vulnérable.

Quels impacts l’affaire de Michael Terpin a-t-elle eus sur la sécurité crypto ?

Le procès de Terpin contre Truglia est l’un des cas de SIM swap les plus représentatifs de l’histoire de la sécurité crypto, et il a entraîné de larges discussions dans l’industrie sur l’attribution des responsabilités aux opérateurs télécom, tout en poussant davantage la communauté crypto à défendre activement l’abandon de la 2FA par SMS au profit de solutions d’authentification matérielles plus sûres.

Comment se défendre efficacement contre une attaque par échange de carte SIM ?

Les mesures de protection clés incluent : remplacer la 2FA par SMS par une clé de sécurité matérielle ou une application d’authentification ; demander à l’opérateur de configurer un verrouillage SIM ou un code PIN de compte ; éviter de lier directement les comptes d’actifs crypto importants à un numéro de téléphone ; et examiner régulièrement les méthodes de vérification de tous les comptes afin de réduire l’exposition des actifs une fois le numéro de téléphone transféré.