L'affaire Ellis Pinsky : Comment un adolescent a exécuté un vol par échange de SIM de $24 millions de dollars

Lorsqu’un jeune de 15 ans de New York a décidé de transformer ses compétences en hacking en profit, il n’a pas simplement volé à une victime ordinaire. Ellis Pinsky a coordonné l’une des plus grandes attaques de swap de SIM jamais enregistrées, compromettant les actifs numériques d’un investisseur en crypto et révélant des vulnérabilités critiques dans la protection de nos numéros de téléphone et portefeuilles. Cette affaire est devenue un avertissement qui a remodelé les discussions sur la sécurité des télécommunications et la protection des actifs en cryptomonnaie.

L’attaque contre Michael Turpin : le plus grand swap de SIM individuel jamais enregistré

La cible était Michael Turpin, un investisseur en crypto qui assistait à une conférence et se sentait en sécurité dans ses avoirs numériques. Ce que Turpin ignorait, c’était qu’à travers le pays, un groupe de jeunes hackers avait déjà lancé leur opération. Ils ont soudoyé des employés de télécom pour détourner son numéro de téléphone — une technique qui leur donnait accès à tout ce qui était protégé par la vérification par SMS.

Ellis Pinsky dirigeait l’opération à distance. Utilisant des scripts lancés via Skype, son équipe a systématiquement exploré l’infrastructure numérique de Turpin : emails, stockage cloud, toute passerelle pouvant mener aux clés de portefeuille de cryptomonnaie. Ils ont découvert des avoirs en Ethereum d’environ 900 millions de dollars, mais ceux-ci étaient protégés par des sécurités supplémentaires qu’ils ne pouvaient pas franchir. Cependant, ils ont trouvé une cible alternative avec 24 millions de dollars en cryptomonnaie accessible. En quelques heures, l’argent avait disparu des comptes de Turpin. C’était le plus grand vol individuel par swap de SIM jamais documenté.

Des forums de hackers de NYC aux opérations à haut risque

Le parcours d’Ellis Pinsky dans ce monde a commencé bien plus tôt. Élevé dans un petit appartement à New York, il a reçu sa première Xbox à 13 ans — un point d’entrée dans des communautés en ligne où se rassemblaient de jeunes passionnés de technologie. Il a progressé, passant de techniques d’injection SQL à l’échange de noms Instagram rares, bâtissant sa réputation et son influence dans des forums underground. Mais le statut ne suffisait pas. Le vrai attrait était d’accéder à une richesse réelle.

Le swap de SIM offrait une voie : soudoyer un représentant télécom, prendre le contrôle du numéro de téléphone de quelqu’un, intercepter les codes de vérification par SMS, réinitialiser les mots de passe, et finalement vider les portefeuilles de cryptomonnaie. C’était une technique qui transformait la connaissance technique d’un adolescent en pouvoir financier immédiat. À 15 ans, Ellis Pinsky avait constitué un réseau : 562 Bitcoin saisis, des insiders télécom à son service, et un accès à des millions de comptes en cryptomonnaie.

La technologie derrière les attaques de swap de SIM et pourquoi elles fonctionnent

La méthode de swap de SIM exploite une faiblesse fondamentale dans la gestion des comptes par les opérateurs télécom et les plateformes numériques. Lorsqu’un numéro de téléphone est transféré sur une nouvelle carte SIM (ou une carte SIM d’un hacker), tous les codes de vérification par SMS sont envoyés à l’attaquant au lieu du propriétaire légitime. Cette vulnérabilité unique se propage à travers les comptes email, les plateformes bancaires et les échanges de cryptomonnaie.

L’attaque a réussi parce que la majorité des sécurités reposent sur la vérification par SMS comme « deuxième facteur » de protection. Une fois le numéro compromis, l’équipe d’Ellis Pinsky a systématiquement contourné ces sécurités supposées. Ils ont accédé à du stockage cloud contenant des fichiers sensibles, à des comptes email avec des liens de récupération de mot de passe, et finalement aux maillons faibles de la défense numérique de Turpin.

La déchéance : quand des complices deviennent des liabilities

L’opération a commencé à se fissurer sous la pression interne. Un complice a fui avec 1,5 million de dollars, disparaissant du réseau. Un autre membre, apparemment inconscient des risques, a discuté ouvertement d’embaucher quelqu’un pour commettre des violences — des conversations qui ont immédiatement levé des drapeaux rouges. Mais la plus grosse erreur est venue de Nicholas Truglia, l’un des partenaires d’Ellis dans le crime.

Truglia n’a pas pu résister à la vantardise. En ligne, il se vantait du vol : « J’ai volé 24 millions. Je ne peux toujours pas garder un ami. » Il a commis l’erreur fatale d’utiliser son vrai nom sur Coinbase en tentant de convertir les fonds volés. Le FBI a tracé cela directement jusqu’à lui, menant à son arrestation et sa condamnation. Sa faute a montré un point crucial : la sécurité opérationnelle se décompose lorsque les participants cherchent la reconnaissance.

Les conséquences pour Ellis Pinsky : implications légales et tentative de réhabilitation

Lorsque le FBI est arrivé chez Ellis Pinsky, son statut de mineur est devenu à la fois un bouclier et un fardeau. Le système judiciaire l’a traité différemment des adultes. Il a évité les charges les plus graves en partie à cause de son âge, mais pas sans coût. Turpin a intenté une action civile de 22 millions de dollars contre lui pour les fonds volés. De plus, des hommes armés masqués ont une fois pénétré dans sa maison — une conséquence du monde underground dans lequel il était entré.

Aujourd’hui, Ellis Pinsky est étudiant en philosophie et informatique à NYU. Il affirme rediriger ses talents vers la création de startups tout en tentant de rembourser ses dettes légales importantes. Que cela représente une véritable réhabilitation ou un autre chapitre d’une histoire en cours reste une question ouverte. Son cas montre à quel point un adolescent doté de compétences techniques peut accéder à des sommes énormes — et à quel point cette richesse est précaire.

Les implications plus larges : ce que révèle l’affaire Ellis Pinsky

Cet incident a mis en lumière la dépendance de la sécurité moderne à une infrastructure télécom obsolète. Les grands détenteurs de cryptomonnaie ont compris que posséder des actifs numériques ne suffisait pas ; ils devaient aussi protéger les numéros de téléphone liés à la récupération de compte. L’affaire a incité les plateformes d’échange, les fournisseurs d’email et les institutions financières à renforcer leurs méthodes de vérification au-delà des codes SMS.

Pour l’industrie de la cryptomonnaie, l’affaire Ellis Pinsky est devenue une preuve que les vulnérabilités de sécurité ne nécessitent pas toujours des exploits zero-day sophistiqués. Parfois, le maillon faible est le travailleur télécom prêt à accepter une bribe, ou la simplicité du swap de SIM comme vecteur d’attaque. À 15 ans, Ellis Pinsky a démontré une leçon de 24 millions de dollars sur pourquoi les stratégies d’authentification multifactorielle doivent évoluer au-delà de la vérification par message texte.