Comment le adolescent Ellis Pinsky a orchestré un braquage de swap SIM d'une valeur de $24 millions

À seulement 15 ans, Ellis Pinsky a dirigé l’une des plus grandes opérations de vol numérique jamais attribuées à un mineur. Grâce à des attaques coordonnées par échange de SIM, lui et un groupe de complices ont intercepté des systèmes d’authentification par téléphone pour accéder à des portefeuilles de cryptomonnaies, volant au total 24 millions de dollars en actifs numériques. L’audace de cette opération — menée par des adolescents dépourvus de réseaux criminels traditionnels — a attiré l’attention des enquêteurs fédéraux et suscité des discussions sur les vulnérabilités des infrastructures de télécommunications et de la sécurité des cryptomonnaies.

L’opération a débuté lorsque Ellis Pinsky et ses associés ont ciblé l’investisseur en crypto-monnaies Michael Turpin. Le groupe a utilisé une exploitation classique des télécoms : soudoyer des employés pour rediriger le numéro de téléphone de Turpin vers des appareils sous leur contrôle. Une fois qu’ils ont pris le contrôle de son numéro, Ellis Pinsky et son équipe ont déployé des scripts automatisés pour extraire systématiquement des actifs numériques des comptes de Turpin — e-mails, stockage cloud, et surtout, identifiants de connexion à ses portefeuilles de cryptomonnaies.

Mécanisme Technique : Comment l’Échange de SIM est devenu une arme dans la crypto

L’échange de SIM, à la base, est une méthode simple de contournement de l’authentification. Les criminels ont compris que l’authentification à deux facteurs basée sur le téléphone — conçue pour protéger les comptes en ligne — pouvait être contournée s’ils contrôlaient le numéro de téléphone de la cible. En persuadant ou en soudoyant des représentants des télécoms pour transférer le numéro d’une victime vers une nouvelle carte SIM, les attaquants accédaient aux codes SMS permettant de réinitialiser les mots de passe. Une fois dans les comptes e-mail, les identifiants de portefeuille devenaient accessibles. Pour des cryptomonnaies comme Ethereum et Bitcoin, cela signifiait une compromission quasi totale du compte.

L’opération d’Ellis Pinsky a initialement découvert 900 millions de dollars en Ethereum dans les comptes de Turpin, mais ceux-ci étaient protégés par des couches supplémentaires d’authentification. L’équipe a changé de stratégie et a localisé 24 millions de dollars en actifs numériques accessibles, qu’ils ont réussi à transférer vers des comptes sous leur contrôle. Les fonds volés représentaient la plus grande fraude par échange de SIM documentée à l’époque.

Des forums de hackers à l’enquête fédérale

Le parcours d’Ellis Pinsky vers la cybercriminalité suivait une trajectoire familière. Né à New York, il a été exposé tôt aux communautés technologiques et de hacking en ligne. Dès son début d’adolescence, il est passé de forums d’hacking académiques à des activités criminelles plus sérieuses — d’abord en monétisant des pseudos de réseaux sociaux volés, puis en passant à des vols directs de cryptomonnaies via des exploits d’échange de SIM.

L’opération lui a permis d’accumuler une richesse immédiate importante. Ellis Pinsky et ses associés ont acheté des objets de luxe — montres haut de gamme et accès à des lieux de vie nocturne — tout en tentant de préserver leur sécurité opérationnelle. Cependant, le plan s’est rapidement effondré lorsque des complices n’ont pas su garder le silence sur leur succès. Nicholas Truglia, un co-conspirateur, a publiquement vanté le vol en ligne et a commis l’erreur cruciale de relier son identité réelle à des transactions Coinbase. Les enquêteurs fédéraux ont tracé les fonds via la blockchain et les canaux bancaires traditionnels. Truglia a été poursuivi et incarcéré.

Conséquences et avenir d’Ellis Pinsky

Ellis Pinsky a été inculpé de graves charges fédérales, mais son âge — il avait 15 ans au moment des faits — a constitué un facteur juridique important. Bien qu’il ait évité les sanctions maximales, Michael Turpin a engagé une action civile, obtenant un jugement de 22 millions de dollars contre lui. La somme dépassait largement les actifs qu’Ellis Pinsky possédait, le plaçant en quasi-orphelin de dettes pour des décennies.

Des conséquences supplémentaires ont émergé hors des tribunaux. Turpin et d’autres victimes d’Ellis Pinsky et de son groupe ont subi des menaces physiques ; dans un incident, des individus armés sont entrés dans la résidence d’une victime, illustrant comment la criminalité numérique peut évoluer en danger physique.

Aujourd’hui, Ellis Pinsky est inscrit à l’Université de New York, où il étudie la philosophie et l’informatique. Il a déclaré publiquement son intention de créer des ventures technologiques légitimes et de s’efforcer de satisfaire le jugement civil qui le concerne. Que cela soit une véritable réhabilitation ou un repositionnement stratégique reste un sujet de débat dans les communautés de cybersécurité.

L’affaire Ellis Pinsky a mis en lumière les vulnérabilités persistantes de l’échange de SIM dans les infrastructures modernes de télécommunications et a soulevé des questions urgentes sur la protection des actifs en cryptomonnaies contre les attaques basées sur l’authentification. Son histoire sert à la fois d’avertissement sur la participation des adolescents à la cybercriminalité sophistiquée et de dénonciation des lacunes de sécurité ayant permis ce vol.