Les « SIM Farms » sont un véritable fléau du spam. Une gigantesque ferme à New York menace les infrastructures américaines, selon les autorités fédérales.

La récente découverte d'une vaste exploitation de fermes SIM dans la région de New York a révélé comment ces installations, généralement utilisées par les cybercriminels pour inonder les téléphones d'appels et de SMS indésirables, sont devenues suffisamment grandes pour que le gouvernement américain avertisse qu'elles pourraient être utilisées non seulement à des fins criminelles, mais également pour perturber à grande échelle des infrastructures critiques.

Mardi matin, les services secrets américains ont révélé avoir découvert un ensemble d'installations dans la région des trois États de New York, hébergeant plus de 100 000 cartes SIM hébergées dans des serveurs SIM, des dispositifs permettant leur gestion et leur exploitation simultanées. Compte tenu de l'ampleur de l'infrastructure de cette ferme de cartes SIM – et du fait qu'elle aurait été repérée par les services secrets après avoir été exploitée lors d'attaques de type « swatting » visant des membres du Congrès américain aux alentours de Noël 2023 –, l'agence a averti que cette opération, au moins partiellement démantelée, représentait une menace sérieuse d'attaque perturbatrice pour les services mobiles.

Étant donné le nombre de cartes SIM sous le contrôle d'une seule opération, cela aurait pu « désactiver les antennes de téléphonie mobile et essentiellement fermer le réseau de téléphonie mobile à New York », selon Matt McCool, l'agent spécial en charge du bureau extérieur des services secrets de New York.

« Ce réseau pourrait être utilisé pour submerger les antennes-relais », selon une source policière au courant de l'enquête des Services secrets, qui a requis l'anonymat en raison du caractère sensible de l'enquête en cours. « Pour vous donner une idée de sa capacité de perturbation, ce réseau pourrait envoyer environ 30 millions de SMS par minute, ce qui signifie qu'il pourrait envoyer des SMS anonymes à l'ensemble des États-Unis en environ 12 minutes. »

La source a déclaré à WIRED que les services secrets ont confirmé que la ferme SIM était utilisée par le crime organisé, des acteurs de la menace étatique et d'autres individus connus des forces de l'ordre.

L'unité de lutte contre les menaces avancées des services secrets a saisi le matériel découvert dans les fermes SIM, qui, selon l'agence, se trouvent toutes dans un rayon de 56 kilomètres du centre de Manhattan. Les services secrets affirment que leur enquête se poursuit et qu'ils examinent les enregistrements d'appels et de SMS de cette vaste collection de cartes SIM. Aucune arrestation n'a été effectuée, selon la source policière. Dans l'annonce de l'opération, les services secrets ont indiqué avoir agi immédiatement pour empêcher toute utilisation potentielle de l'opération SIM pour cibler l'Assemblée générale des Nations Unies à Manhattan cette semaine, sans toutefois fournir de preuve suggérant que tel était l'objectif de l'opération.

« Compte tenu du moment, du lieu et du potentiel de perturbation importante des télécommunications de New York posé par ces appareils, l'agence a agi rapidement pour perturber ce réseau », peut-on lire dans un communiqué de l'agence.

Malgré les spéculations de certains médias sur les fermes de cartes SIM, suggérant qu'elles auraient été créées par un État étranger comme la Russie ou la Chine et utilisées à des fins d'espionnage, il est bien plus probable que l'opération ait principalement visé des escroqueries et d'autres formes de cybercriminalité à but lucratif, affirme Ben Coon, responsable du renseignement au sein de l'entreprise de cybersécurité Unit 221b et ayant mené de nombreuses enquêtes sur les fermes de cartes SIM. « Une perturbation des services mobiles est possible, inondant le réseau au point de ne plus pouvoir absorber le trafic », déclare Coon. « Mon instinct me dit qu'il s'agit d'une fraude. »

Dans ce cas précis, selon un reportage de CNN sur l'enquête des Services secrets, l'agence a retrouvé la trace de la ferme SIM de la région de New York après son utilisation lors de deux attaques de type « swatting » le jour de Noël 2023, qui ont visé la députée Marjorie Taylor Greene et le sénateur américain Rick Scott. Ces incidents semblent être liés à deux Roumains, Thomasz Szabo et Nemanja Radovanovic, qui collaboraient avec le tueur en série américain Alan Filion, aussi connu sous le nom de Torswats .

Bien que les trois hommes aient depuis été condamnés pour des accusations liées au swatting, McCool, du Secret Service, a noté dans sa déclaration que l'enquête de l'agence faisait suite à « des menaces imminentes liées aux télécommunications dirigées contre de hauts responsables du gouvernement américain ce printemps ».

Le phénomène des fermes SIM, même à l'échelle observée dans ce cas précis à New York, est loin d'être nouveau. Les cybercriminels exploitent depuis longtemps ces vastes collections de cartes SIM gérées de manière centralisée pour toutes sortes d'activités, du spam au swatting, en passant par la création de faux comptes et les interactions frauduleuses sur les réseaux sociaux ou dans le cadre de campagnes publicitaires. Les cartes SIM sont généralement hébergées dans des boîtiers SIM pouvant gérer plus d'une centaine de cartes simultanément, elles-mêmes connectées à des serveurs pouvant chacun gérer des milliers de cartes SIM.

Les fermes de cartes SIM permettent « d'envoyer des messages en masse à une vitesse et un volume impossibles pour un utilisateur individuel », a déclaré à WIRED une source du secteur des télécommunications, qui a requis l'anonymat en raison de la sensibilité de l'enquête des services secrets. « La technologie de ces fermes les rend très flexibles : les cartes SIM peuvent être alternées pour contourner les systèmes de détection, le trafic peut être masqué géographiquement et les comptes peuvent être créés pour donner l'impression qu'ils proviennent d'utilisateurs authentiques. »

La source du secteur des télécommunications ajoute que les images de serveurs et de boîtiers SIM publiées par les services secrets suggèrent qu'une opération criminelle « très organisée » pourrait être à l'origine de cette opération. « Cela signifie qu'il existe d'importants renseignements et des ressources importantes derrière tout cela », a-t-elle ajouté.

Selon Coon de l'Unité 221b, la ferme de cartes SIM découverte par les Services secrets n'est pas la plus importante opération dont il ait eu connaissance aux États-Unis. Mais c'est la plus concentrée dans une zone géographique aussi restreinte. Les boîtiers SIM, précise-t-il, sont illégaux aux États-Unis, et les centaines d'entre eux découverts lors de l'enquête des Services secrets ont dû être introduits clandestinement aux États-Unis. Dans une affaire à laquelle il a participé, précise Coon, les boîtiers étaient importés de Chine, déguisés en amplificateurs audio.

Les « racks d'équipements propres et bien rangés » dans une pièce bien éclairée témoignent d'une organisation et d'un professionnalisme irréprochables, explique Cathal Mc Daid, vice-président des technologies chez Enea, une entreprise de télécommunications et de cybersécurité. Des photos publiées par les services secrets montrent plusieurs racks d'équipements de télécommunications soigneusement installés, avec des équipements numérotés et étiquetés, et des câbles au sol recouverts et protégés par du ruban adhésif. Chaque boîtier SIM, précise Mc Daid, semble contenir environ 256 ports et modems associés. « Cela paraît plus professionnel que la plupart des fermes SIM que l'on voit », conclut Mc Daid.

Mc Daid note cependant avoir suivi des opérations similaires découvertes en Ukraine, dont certaines étaient aussi importantes, voire plus importantes, que celle révélée mardi par les services secrets. Ces dernières années, les forces de l'ordre ukrainiennes ont découvert des dizaines de milliers de cartes SIM utilisées dans des fermes de cartes SIM prétendument créées par des acteurs russes. Dans un cas survenu en 2023, environ 150 000 cartes SIM auraient été découvertes . Ces fermes de cartes SIM ont servi à alimenter de faux profils sur les réseaux sociaux, susceptibles de diffuser de la désinformation et de la propagande.

Sur une photo publiée par les services secrets, on peut voir les emballages de centaines de cartes SIM appartenant à l'opérateur de télécommunications MobileX. « Nous avons connaissance de rapports récents selon lesquels des cartes SIM MobileX, ainsi que celles d'autres opérateurs, ont été retrouvées lors d'une enquête fédérale », déclare Peter Adderton, PDG et fondateur de MobileX, dans un communiqué. « Notre plateforme est conçue pour être simple d'utilisation et économique, des qualités qui, malheureusement, peuvent aussi attirer des individus malintentionnés. » M. Adderton ajoute que MobileX est prêt à collaborer avec les forces de l'ordre et dispose de systèmes pour mettre fin à toute activité suspecte.

Les fermes de cartes SIM étant généralement utilisées pour des fraudes indiscriminées plutôt que pour des attaques par swatting ou d'autres menaces plus perturbatrices, l'utilisation inhabituelle de cette ferme pour swatter des responsables américains a probablement été à l'origine de sa chute, note Allison Nixon, directrice de la recherche de l'Unité 221b. « Les swatters sont aussi des fraudeurs ; ils savent donc utiliser les services proxy criminels. Les propriétaires d'infrastructures proxy criminelles investissent massivement, partant du principe que les taux d'arrestation pour cybercriminalité sont faibles », explique Nixon. « Mais ils n'anticipent pas que la cybercriminalité, lorsqu'on la laisse se développer, mène toujours au terrorisme. Dès que les autorités fédérales constatent cela, l'opération est déjà massive. »