Un jeune crack en informatique de 18 ans, dont la résidence des parents a fait l’objet d’une perquisition à Montréal par la police de Toronto et la Sûreté du Québec en novembre dernier, est soupçonné de faire partie d’un cercle de pirates informatiques qui a dérobé des dizaines de millions de dollars en accédant aux téléphones cellulaires de détenteurs de cryptomonnaies.

La méthode utilisée pour prendre le contrôle des téléphones des victimes, appelée « SIM swap », donne des maux de tête aux fournisseurs de téléphonie mobile.

Le jeune suspect montréalais, Samy Bensaci, a été libéré sous de strictes conditions en décembre en attendant son procès à Toronto. Il doit demeurer chez ses parents dans le nord-est de Montréal en vertu d’une ordonnance de la Cour de justice de l’Ontario, a appris La Presse. Il ne peut quitter la résidence qu’en présence d’un des trois membres de sa famille qui se sont portés garants du respect des conditions, moyennant un engagement de 200 000 $ en garantie. Lors d’une visite de La Presse à ce domicile, un homme qui a répondu à la porte a poliment refusé de nous parler du suspect et de son arrestation.

PHOTO MARTIN TREMBLAY, LA PRESSE

Quartier où se situe la maison des parents de Samy Bensaci dans le nord-est de Montréal.

Il est notamment interdit à Bensaci d’accéder à « tout ordinateur, tablette, téléphone mobile, console de jeu, en incluant PS3, PS4, Xbox, Nintendo Switch, ou tout autre dispositif capable d’accéder à l’internet ».

Le tribunal lui a aussi interdit de posséder ou d’échanger toute forme de cryptomonnaie, ces devises virtuelles qui s’échangent d’un téléphone à l’autre, et dont la plus connue est le bitcoin. De nombreuses personnes qui en possèdent sont devenues millionnaires au tournant de 2017 lorsque leur valeur a explosé sur les marchés internationaux.

La Sûreté du Québec confirme que son Service des enquêtes sur les crimes économiques et sa division de l’identité judiciaire ont collaboré avec la police de Toronto à ce « dossier canadien et américain de cyberfraude de type SIM swapping ».

Cette collaboration a contribué à mettre fin à un stratagème qui a fait des dizaines de victimes, impliquant des vols de 50 millions chez nos voisins du Sud et de 300 000 $ au Canada.

Le lieutenant Hugo Fournier, porte-parole de la SQ 

Le suspect montréalais fait face à des accusations de fraude, d’utilisation non autorisée d’un ordinateur, de méfait visant des données informatiques et de fraude d’identité. Il a dû remettre son passeport à la Sûreté du Québec afin de garantir qu’il ne quitterait pas le territoire canadien.

Bensaci a été décrit par une source policière comme un des « suspects principaux » d’une enquête américaine visant un cercle de pirates très actif, qui a détroussé des dizaines de personnes aux États-Unis et au Canada à partir du printemps 2018.

De nombreuses victimes de cette vague de vols ont comme point commun d’avoir participé à un salon sur les cryptomonnaies appelé Consensus, tenu chaque année à New York. « On soupçonne que les hackers repéraient les cibles lors de tels événements », dit Rob Ross, une victime américaine du stratagème, qui s’est fait voler 1 million US en cryptomonnaie lors de deux frappes différentes. Il gère aujourd’hui le site StopSIMCrime.org.

Une autre source, qui a requis l’anonymat parce qu’elle n’est pas autorisée à parler du dossier publiquement, soutient que les sommes volées au Canada par ce réseau de pirates seraient nettement plus élevées que les 300 000 $ évoqués par la SQ.

Un homme a notamment porté plainte à la police de Vancouver après s’être fait voler 2,3 millions au moyen de ce stratagème en décembre 2018.

Tuyau des Services secrets américains

Ce sont les Services secrets américains (United States Secret Service), responsables de la lutte contre la fraude aux États-Unis, qui ont informé en avril 2019 les autorités canadiennes qu’un suspect canadien était dans le collimateur d’une escouade californienne spécialisée appelée REACT (Regional Enforcement Allied Computer Team). La Sûreté du Québec a été saisie de l’affaire, mais comme il n’y avait pas de victime québécoise, l’enquête a été transférée à la police de Toronto.

Deux fournisseurs de téléphonie mobile canadiens s’arrachaient les cheveux depuis des mois pour coincer ce pirate, qui avait conçu au pays une méthode sournoise pour déjouer la vigilance de leurs employés techniques.

Le 21 novembre, les enquêteurs de l’équipe de lutte contre la cybercriminalité de la police de Toronto se sont discrètement présentés à la résidence familiale du suspect, située dans un quartier résidentiel tranquille de Montréal, mandat de perquisition et mandat d’arrêt en main.

Selon nos informations, Bensaci ne s’y trouvait pas, mais il a été arrêté peu de temps après à Victoria, en Colombie-Britannique. Appuyés par des agents de la SQ, les enquêteurs torontois ont néanmoins saisi au domicile du suspect plusieurs téléphones, des cartes SIM et du matériel informatique.

Un voisin a dit ne pas avoir eu connaissance de l’opération policière. Bensaci a été décrit comme un jeune homme discret, qui passe beaucoup de temps devant l’ordinateur.

Qu’est-ce qu’un SIM swap ?

Relativement récent dans l’arsenal des pirates, le SIM swap est une attaque informatique d’une efficacité redoutable, qui permet à son auteur de prendre le contrôle complet du service cellulaire de sa victime – ligne téléphonique et SMS inclus.

Pour réussir l’attaque, le pirate doit déjà détenir plusieurs informations personnelles sur sa victime, qu’il a généralement obtenues en s’infiltrant dans ses courriels ou ses comptes de réseaux sociaux. Il appelle ensuite le fournisseur de sa proie en se faisant passer pour un employé d’un kiosque de téléphones mobiles qui aide cette personne à changer la carte SIM (Subscriber Identity Module) de son appareil.

S’il réussit son coup, le pirate contrôle ensuite la ligne téléphonique et peut se faire passer pour sa victime.

La victime, elle, n’a alors plus accès à son service téléphonique. Le temps qu’elle s’en rende compte et alerte son fournisseur de téléphonie mobile, il est souvent trop tard : le hacker a réussi à changer tous ses mots de passe. La victime, qui ne peut accéder à ses comptes, est momentanément dépouillée de son identité numérique.

Ce stratagème malicieux est particulièrement efficace pour déjouer les systèmes de vérification à « double facteur », qui servent à valider l’identité des utilisateurs en envoyant sur leur téléphone un SMS contenant un code numérique temporaire permettant de déverrouiller un compte.

Un membre de l’Ordre du Canada parmi les victimes

La Presse a appris qu’une des victimes alléguées de Samy Bensaci était l’influent homme d’affaires torontois et auteur de renom Don Tapscott, membre de l’Ordre du Canada. M. Tapscott dirige le Blockchain Research Institute, groupe de recherche sur les cryptomonnaies.

PHOTO ANA GRILLO, LA PRESSE CANADIENNE

L’homme d’affaires torontois et auteur Don Tapscott

Il a aussi donné une conférence inaugurale lors du salon Consensus de 2018, à New York. Son fils, Alex Tapscott, banquier d’affaires également actif dans l’univers des cryptomonnaies, a aussi confirmé avoir été victime d’une attaque semblable au cours des derniers mois.

Les conditions de libération de Bensaci lui interdisent spécifiquement d’entrer en contact avec ces deux hommes d’affaires canadiens ainsi qu’avec les employés du Blockchain Research Institute.

Les deux hommes ont reconnu lors d’échanges avec La Presse qu’un pirate, ou un groupe de pirates, avait tenté de voler des portefeuilles de cryptomonnaies appartenant à leur organisation ou à ses employés, mais n’ont pas voulu s’exprimer sur la méthode utilisée. Ils ont dit ne pas connaître l’identité de l’auteur ou des auteurs de l’attaque. 

Cette tentative de vol a été infructueuse. Nous avons des procédures de sécurité très sophistiquées qui ont fonctionné.

Don Tapscott

« Nous collaborons avec la police et sommes impressionnés par [sa] détermination à conduire les responsables de cette attaque devant la justice, a affirmé Alex Tapscott dans un courriel. Ce type d’activité criminelle est bien plus fréquent que ne le soupçonnent les entreprises ou les citoyens, et tout le monde devrait prendre des mesures pour s’en protéger. »

Enquête complexe

L’arrestation de Samy Bensaci a nécessité des techniques d’enquête poussées impliquant notamment l’obtention de registres d’activité d’antennes relais de fournisseurs de service cellulaire, afin de confirmer l’identité du suspect ainsi que son lieu de résidence.

Selon une source, le suspect aurait commencé ses activités illicites autour de novembre 2018.

Le premier vol par SIM swap documenté au Canada remonte à octobre 2017, lorsque l’homme d’affaires montréalais Andrew Lakemaker, actif dans l’industrie de la pornographie et des gadgets sexuels, a déclaré s’être fait voler le compte Twitter @porn et ses 193 000 abonnés au moyen de ce stratagème. Il a intenté une poursuite de 501 000 $ contre Rogers Communications et Fido Solutions pour négligence. Il a refusé de nous accorder une entrevue pour ne pas nuire à son action en justice.

Posséder un tel compte au nom court et évocateur est considéré comme très prestigieux parmi les pirates informatiques, puisque cela donne l’impression que le détenteur est une des premières personnes à s’être inscrite au réseau social au moment de son lancement.

Gucci, McLaren et hélicos privés

Les fraudes de type SIM swap ont explosé aux États-Unis, particulièrement en Californie, à partir du printemps 2018. Des dizaines d’entrepreneurs du domaine des technologies de la Silicon Valley se sont plaints à la police de s’être fait voler des sommes colossales qu’ils détenaient en cryptomonnaie. 

L’escouade californienne REACT, spécialisée dans les crimes informatiques, a arrêté dans les mois qui ont suivi une quinzaine de pirates présumés responsables de ces fraudes, tous âgés de moins de 30 ans.

PHOTO TIRÉE D’INSTAGRAM 

Joel Ortiz dans une publication Instagram 

L’un d’eux, Joel Ortiz, collégien de 21 ans de Boston, a écopé de 10 ans de prison après avoir reconnu avoir volé plus de 7,5 millions US en piratant les portefeuilles de cryptomonnaies d’une quarantaine de victimes. 

Il avait attiré l’attention des autorités en organisant des soirées à 10 000 $ dans des clubs privés de Los Angeles, auxquelles il se rendait avec des amis en hélicoptère loué.

Les policiers l’ont arrêté à l’aéroport de Los Angeles, entièrement vêtu de pièces Gucci fraîchement achetées, alors qu’il se rendait à un festival de musique avec des amis, selon une déclaration de la procureure générale adjointe responsable de l’escouade REACT, Erin West. 

PHOTO TIRÉE D’INSTAGRAM 

Photo de la McLaren 2018 de Xzavyer Narvaez publiée sur Instagram 

Les informations trouvées sur l’un des téléphones d’Ortiz ont permis à REACT d’arrêter l’un de ses complices présumés, Xzavyer Narvaez. Ce dernier, 19 ans, aurait réussi à dérober un magot suffisamment important pour se payer une rutilante McLaren 2018, valant 200 000 $. Des photos du bolide qu’il a affichées sur un forum fréquenté par des pirates (hackers) ont aussi attiré l’attention des policiers. 

L’une des victimes américaines du cercle de pirates, Rob Ross, administre aujourd’hui le site web StopSimCrime.org afin d’alerter la population sur l’existence de ce stratagème. 

« À la base, la plupart de ces pirates jouaient ensemble à des jeux vidéo en ligne et se fréquentaient sur un forum appelé OGUsers.com, affirme M. Ross. Ils se sont mis à faire des SIM swap pour voler des comptes Instagram et Twitter qui avaient des noms courts et évocateurs, qu’ils se revendaient entre eux. Par la suite, ils se sont mis à cibler des détenteurs de cryptomonnaies pour leur voler leurs portefeuilles. Ils se partageaient des listes de victimes potentielles sur ce forum », affirme-t-il.

M. Ross dit s’être lui-même fait voler plus de 1 million en cryptomonnaie par un pirate de 21 ans, Nicholas Truglia. 

Ce même pirate a été accusé d’avoir volé 23 millions de dollars à un crypto-investisseur très connu, Michael Terpin, en utilisant la même méthode de SIM swapping. Truglia n’a jamais reconnu être l’auteur du larcin, mais a été condamné par la Cour supérieure de Californie, en mai, à verser 75 millions en dommages à sa victime dans le cadre d’une cause civile. 

Comment se prémunir d’un SIM swap ? 

Dans presque toutes les attaques de type SIM swap, les pirates commencent par obtenir certaines informations de base sur leurs victimes avant de frapper.

La date de naissance : Beaucoup l’affichent ouvertement sur les réseaux sociaux. C’est une information précieuse pour les pirates. Le Centre antifraude du Canada recommande de ne pas la rendre publique sur Facebook et ailleurs. 

Le numéro de téléphone : Telus recommande d’éviter de fournir son numéro de téléphone lorsqu’on crée un compte en ligne. La vérification à double facteur, qui utilise le SMS pour valider l’identité de l’utilisateur, n’est pas la meilleure mesure de protection. « C’est mieux que rien du tout, mais s’il y a une meilleure option, il est effectivement préférable de ne pas utiliser la vérification par SMS », affirme le spécialiste en cybersécurité Jean Loup Le Roux. L’application Google Authenticator, qui fonctionne avec la plupart des réseaux sociaux, est un meilleur outil. 

Les mots de passe : Évitez à tout prix d’utiliser le même mot de passe sur plusieurs sites. S’il est compromis, vous êtes foutu. Le pirate vous dépouillera de votre identité virtuelle en moins de deux. 

Reconnaître les signes de fraude : Si votre ligne téléphonique cesse de fonctionner ou que vous recevez un message indiquant que votre numéro a été mis en service auprès d’un autre fournisseur, il se peut que vous soyez victime de SIM swap. Joignez rapidement votre fournisseur pour lui en faire part ou appelez le Centre antifraude du Canada (1 888 495-8501).

— Avec la collaboration de Daniel Renaud, de La Presse, et de Peter Edwards, du Toronto Star