Des clients de Telus récemment victimes de fraude par usurpation de carte SIM (SIM swap) sonnent l’alarme sur les failles apparentes dans les mécanismes de sécurité de l’entreprise. Une cliente de la filiale au rabais Public Mobile s’est même fait dire par un employé que le service auquel elle est abonnée est « plus à risque que les autres » parce qu’elle paie moins cher.

Tristan Péloquin
Tristan Péloquin La Presse

« Si vous payez un service moins cher, on ne va pas investir autant dans le système. On ne va pas mettre des millions là-dedans quand on a des clients qui paient 5, 10 ou 15 $ par mois et que ce n’est pas rentable. À la fin, c’est une compagnie privée. » C’est mot pour mot ce que s’est fait répondre Annie Montplaisir par un responsable du service de la protection des renseignements personnels de Telus, en mars dernier, quelques jours après que sa ligne téléphonique de Public Mobile eut été détournée par un pirate.

L’individu a utilisé une technique de piratage appelée SIM swap pour prendre le contrôle de sa ligne téléphonique (voir l’encadré pour comprendre la technique). L’arnaque a permis au fraudeur de commander pour 2700 $ de vêtements avec la carte de crédit de la victime, qu’il a fait livrer à une adresse de Laval.

Pour prévenir ce type de fraude, les opérateurs de téléphonie mobile demandent de plus en plus que les clients protègent leur carte SIM avec un mot de passe composé de quatre chiffres, qui est exigé lorsqu’une personne demande de changer la carte. D’autres fournisseurs vont encore plus loin : ils envoient un texto sur le téléphone du client avant de faire quelque modification que ce soit au compte pour s’assurer qu’il y consent.

Mais ce que Mme Montplaisir, avocate de profession, a découvert avec stupéfaction, c’est qu’elle n’avait aucune protection semblable sur sa carte SIM. Lorsqu’elle s’est rendu compte que sa ligne était inaccessible, elle a voulu appeler chez Public Mobile pour parler avec un représentant, mais s’est butée au fait que le service n’a aucune ligne d’appel d’urgence.

Quand on se fait frauder, chaque minute compte. Il aurait au moins dû y avoir un numéro pour que je puisse parler à quelqu’un.

Annie Montplaisir, victime d’une usurpation de carte SIM

Lorsqu’elle a fini par parler aux employés du service de la protection des renseignements personnels de Telus quelques jours plus tard, ceux-ci lui ont expliqué que le système de Public Mobile était « plus ancien » que ceux de Telus et de Koodo, et que ces derniers étaient donc « plus sécuritaires ». « Chaque fois qu’on parle à [des clients de] Public Mobile, on leur indique cette information, pour [les inciter à] aller vers un système plus fiable, plus sécuritaire », lui a expliqué l’employé.

Questionnée par La Presse au sujet de ces déclarations, Telus dit avoir mené une enquête interne, et nous a dirigé vers le président de sa division Solutions mobiles, Jim Senko. « Public Mobile est une marque très importante pour nous. Affirmer que nous n’investissons pas dans celle-ci est absolument faux », a affirmé M. Senko.

« Il s’agit de notre filiale qui connaît la croissance la plus rapide, et nous avons dépensé beaucoup d’argent pour améliorer sa sécurité », a-t-il insisté, assurant que des mesures de vérification plus évoluées avaient été ajoutées depuis la fraude dont Mme Montplaisir a été victime. Il n’est, par exemple, plus possible pour les pirates de procéder à des changements de carte SIM en faisant une transaction entièrement en ligne sur le site de Public Mobile, comme ce fut apparemment le cas pour Mme Montplaisir. « Ces mesures ont considérablement amélioré la situation », soutient M. Senko. D’autres mécanismes de contrôle plus poussés seront en vigueur « d’ici deux ou trois semaines », a-t-il promis.

« Une obligation, point final »

La conversation avec l’employé de Telus, dont Mme Montplaisir a obtenu les enregistrements audio à la suite d’une demande d’accès à ses renseignements personnels, a néanmoins fait sursauter trois spécialistes des questions de vie privée consultés par La Presse.

« L’obligation de protéger les renseignements personnels ne peut pas être conditionnelle au prix payé pour le service. Ça ne tient pas debout », a affirmé le professeur de droit Pierre Trudel, membre du Centre de recherche en droit public de l’Université de Montréal.

« L’obligation de sécurité, c’est une obligation, point final. Les fournisseurs ne peuvent pas dire que ça coûterait trop cher pour justifier qu’ils offrent un service moins sécuritaire », a renchéri Vincent Gautrais, de la Chaire L.R. Wilson en droit des technologies de l’information et du commerce électronique.

Ces propos suggèrent une négligence assez flagrante s’ils sont au fait que leurs systèmes sont moins sécuritaires. Les données doivent être protégées en fonction de leur sensibilité, pas en fonction du prix que le client paie.

Danielle Olofsson, avocate spécialisée en protection de la vie privée

Les mesures de protection d’autres filiales au rabais de grandes entreprises de téléphonie ont aussi dû être renforcées ces derniers mois. Une employée du service à la clientèle de Chatr, une filiale de Rogers, a cependant indiqué à La Presse qu’elle n’était « pas au courant » qu’il était possible de protéger une carte SIM avec un mot de passe. Après vérification auprès de ses collègues, elle a indiqué qu’elle « ne recommanderait pas de le faire ». « Si vous oubliez votre code, il n’y a rien que nous puissions faire [si vous avez un problème] », a-t-elle expliqué. Rogers dit avoir ajouté d’autres étapes d’authentification, dont des mots de passe, des questions de sécurité et la reconnaissance vocale des clients, pour prévenir les fraudes.

Fizz, la filiale à bas prix de Vidéotron, utilise comme Public Mobile un système entièrement en ligne pour les transactions avec les clients. Elle dit exiger deux photos de preuve d’identité et une séance de clavardage avec un agent avant d’autoriser un transfert de carte SIM. En cas de doute, les clients sont dirigés vers les succursales physiques de l’entreprise.

D’autres victimes

Le phénomène des fraudes par usurpation de carte SIM est qualifié de « problème gigantesque et scandaleux » par le Centre pour la défense de l’intérêt public (CPDIP), un OBNL qui tente de forcer le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et les entreprises de téléphonie à comparaître en commission parlementaire pour en répondre. « Les répercussions pour les consommateurs, qui se servent de plus en plus de leurs téléphones cellulaires pour confirmer leur identité par texto auprès d’une panoplie de services, sont extrêmement profondes », soutient le directeur général de l’organisme, John Lawford.

Les entreprises de téléphonie cachent l’ampleur du problème parce qu’il est extrêmement gênant pour elles.

John Lawford, directeur général du Centre pour la défense de l’intérêt public

Jean-François Comeau, un client du service de Telus qui a contacté La Presse pour rapporter son histoire, affirme s’être fait dérober un compte de cryptomonnaies qui contenait pour 40 000 $ de devises à la suite d’une usurpation de carte SIM. Ce n’est qu’à la suite de l’attaque que des « instructions spéciales » ont été ajoutées à son compte pour exiger des vérifications additionnelles avant d’autoriser les changements de carte SIM. « Telus a même banalisé l’évènement, en disant “ça arrive dans toutes les compagnies de télécoms”, “les fraudeurs trouveront toujours le moyen de détourner nos méthodes de protection des données”, “la police ne pourra rien faire pour vous”, etc. », dénonce M. Comeau, qui a officiellement porté plainte à l’Office de la protection de la vie privée du Canada.

PHOTO KARENE-ISABELLE JEAN-BAPTISTE, LA PRESSE

Jean-François Comeau a porté plainte à l’Office de la protection de la vie privée du Canada après avoir été victime d'usurpation de carte SIM.

L’organisme fédéral n’a pas voulu faire de commentaire, mais reconnaît que les fraudes par usurpation de carte SIM sont « de toute évidence un problème important qui a des répercussions considérables sur la vie privée des Canadiens ».

Marc, une autre victime qui a demandé qu’on taise son nom de famille par crainte d’être la cible de nouvelles attaques de pirates, affirme pour sa part s’être fait voler pour 600 $ de jetons sur un compte de poker en ligne à la suite du piratage de sa ligne Telus. Selon lui, le mot de passe qui protégeait sa carte SIM contre des transferts non autorisés était « 1-2-3-4 », le numéro installé par défaut par le fournisseur à la création du compte. « Telus a été négligent. Je me sens violé. Je ne me sens plus en sécurité », a-t-il dit à La Presse.

Telus n’a pas été en mesure de commenter ces deux cas particuliers.

Le CRTC « léthargique », selon un expert

Devant l’ampleur du phénomène, le CRTC a demandé en juillet 2020 que tous les fournisseurs de téléphonie lui remettent un rapport mensuel indiquant le nombre d’abonnés victimes de ce type de fraude. Les fournisseurs refusent cependant catégoriquement de rendre ces informations publiques, affirmant que leur diffusion permettrait aux fraudeurs d’exploiter les moindres détails pour perpétuer les attaques.

L’organisme a annoncé mercredi dernier qu’il publierait certaines informations illustrant « la tendance des données » liées au phénomène le 8 juillet, mais aucun détail concernant spécifiquement chaque fournisseur ne sera rendu public. Le CRTC a refusé de répondre à nos questions pour ce reportage.

« Ça montre à quel point le CRTC a besoin d’un sérieux coup de barre, affirme le professeur de droit Pierre Trudel. L’organisme se traîne les pieds depuis 20 ans, alors que c’est son mandat de prendre ces questions au sérieux. Il y a une léthargie qui fait en sorte qu’il ne joue plus son rôle. »

Un rapport de la Chambre des communes datant de novembre 2020 souligne que « très peu, voire aucune compensation n’est généralement accordée aux victimes de transfert illégal de carte SIM ». Annie Montplaisir, elle, s’est tout de même vu offrir par Public Mobile un rabais de 40 $ sur sa facture du mois d’avril en guise de dédommagement. « Quand on considère que j’ai dû faire, au minimum, une vingtaine d’heures de démarches au téléphone pour régler le problème, je considère que c’était la moindre des choses », commente-t-elle.

Comment fonctionne la fraude par usurpation de carte SIM ?

PHOTO HUGO-SÉBASTIEN AUBERT, ARCHIVES LA PRESSE

Lors d’une fraude par usurpation de carte SIM, si la victime a protégé ses comptes bancaires avec un mécanisme de vérification à double facteur qui envoie un mot de passe temporaire par texto, c’est le pirate qui reçoit ce mot de passe.

Chaque téléphone cellulaire est muni d’une carte SIM (subscriber indentity module) amovible, sur laquelle se trouve une micropuce contenant les informations sur l’abonné d’un réseau de téléphonie mobile. C’est la clé pour accéder au réseau.

Lors d’une fraude par usurpation de carte SIM, le pirate communique avec le fournisseur de téléphonie de sa victime en se faisant passer pour cette dernière, prétend qu’il a perdu son téléphone, que sa carte SIM ne fonctionne plus ou qu’il souhaite changer de fournisseur, et demande que la ligne téléphonique soit transférée sur une autre carte SIM dont il a le contrôle.

Si l’arnaque fonctionne, le pirate n’a qu’à insérer cette carte SIM dans un téléphone et obtient ainsi le contrôle complet de la ligne téléphonique de sa victime. Dans la plupart des cas, la victime ne se rend pas immédiatement compte que son service ne fonctionne plus.

Dès lors, c’est le pirate qui reçoit tous les textos de la victime. Si la victime a protégé ses comptes de courriel, comptes bancaires ou comptes de réseaux sociaux avec un mécanisme de vérification à double facteur qui envoie un mot de passe temporaire par texto pour autoriser l’accès, c’est le pirate qui reçoit ce mot de passe. Il peut donc réinitialiser les codes d’accès et prendre le contrôle des comptes de sa victime, ainsi que de toutes les données personnelles qui s’y trouvent. Dans bien des cas, la victime, qui ne connaît pas les nouveaux codes d’accès, n’est plus en mesure de se connecter à ses propres comptes.