Derrière ce terme technique se cache une escroquerie qui ne nécessite ni piratage informatique sophistiqué ni virus complexe. Elle exploite une faille bien plus humaine : la confiance accordée aux opérateurs téléphoniques. Résultat, des milliers de personnes se retrouvent privées de leur ligne mobile, tandis que des fraudeurs accèdent à leurs comptes bancaires, leurs réseaux sociaux et parfois à l’ensemble de leur identité numérique.
Qu’est-ce que le SIM swapping ?
Le SIM swapping, ou fraude par échange de carte SIM, est une technique d’escroquerie qui vise à prendre le contrôle d’un numéro de téléphone mobile. Concrètement, un cybercriminel réussit à convaincre un opérateur de transférer le numéro de sa victime vers une nouvelle carte SIM en sa possession. Une fois la manipulation effectuée, il intercepte les appels et, surtout, les SMS de confirmation envoyés par les banques, les réseaux sociaux ou les plateformes de commerce en ligne.
Avec cet accès, l’escroc peut contourner les mécanismes de double authentification par SMS, récupérer les mots de passe oubliés et accéder à des comptes sensibles, parfois jusqu’à vider un compte bancaire.
Comment fonctionne cette fraude ?
Le SIM swapping s’appuie principalement sur l’ingénierie sociale. L’attaquant commence par collecter des données personnelles sur sa victime : nom, adresse, date de naissance, numéro de client, parfois obtenus via des campagnes de phishing, des informations disponibles sur les réseaux sociaux ou de piratages d’entreprises comme récemment avec Bouygues Télécom ou Orange Belgique .
Une fois armé de ces éléments, il appelle l’opérateur mobile en se faisant passer pour l’abonné légitime. L’argument est souvent classique : « J’ai perdu mon téléphone », « Ma carte SIM ne fonctionne plus » ou encore « Je viens de changer de téléphone et j’ai besoin d’une nouvelle carte ». Si le service client ne prend pas suffisamment de précautions, le transfert est validé. Le numéro bascule alors sur une carte contrôlée par le fraudeur.
À partir de ce moment, la victime perd le réseau sur son téléphone, tandis que le pirate commence à recevoir tous ses appels et messages. Il peut alors réinitialiser des mots de passe, contourner la sécurité bancaire, se connecter à des réseaux sociaux ou encore usurper son identité pour arnaquer ses contacts.
Le phénomène du SIM swapping connaît une croissance inquiétante dans le monde entier. Les pertes financières, elles, atteignent plusieurs millions d’euros chaque année. L’essor des cartes eSIM, plus rapides à activer à distance, a également contribué à multiplier les détournements.
Quels sont les signes d’une attaque ?
Plusieurs indices peuvent trahir une tentative de SIM swapping :
- Une perte soudaine de réseau mobile sans raison apparente. Votre téléphone indique « aucun service » ou reste bloqué en mode d’urgence.
- Des messages inattendus de l’opérateur confirmant une modification que vous n’avez pas demandée.
- L’impossibilité de passer des appels ou d’envoyer des SMS.
- Des notifications inhabituelles liées à vos comptes en ligne : demande de réinitialisation de mot de passe, nouvelle connexion depuis un lieu inconnu, ou transactions bancaires suspectes.
Dans ces cas-là, il faut agir immédiatement, car chaque minute compte.
Comment se protéger efficacement ?
Sécuriser son compte auprès de l’opérateur
La première ligne de défense se situe au niveau de l’opérateur. De nombreux fournisseurs permettent d’activer une protection supplémentaire, comme l’ajout d’un mot de passe, d’un code PIN ou d’une question secrète pour valider toute demande de transfert de carte SIM. Cette mesure simple empêche un fraudeur de modifier votre ligne, même s’il connaît vos informations personnelles.
Il est également recommandé de contacter régulièrement son opérateur pour vérifier les options de sécurité disponibles. Certains proposent un service de « verrouillage » empêchant tout transfert sans validation physique en boutique.
Limiter l’usage du SMS pour l’authentification
Le point faible exploité par le SIM swapping est le recours massif au SMS comme outil d’authentification à deux facteurs (2FA). Or, cette méthode est aujourd’hui considérée comme vulnérable.
La meilleure alternative consiste à utiliser une application génératrice de codes temporaires (Google Authenticator, Authy, Microsoft Authenticator, etc.) ou mieux encore, une clé de sécurité physique comme une YubiKey. Ces dispositifs sont beaucoup plus difficiles à détourner, car ils ne dépendent pas du réseau mobile.
Adopter une bonne hygiène numérique
La protection passe aussi par des habitudes de cybersécurité solides :
- Utiliser des mots de passe uniques et robustes pour chaque service, idéalement gérés par un gestionnaire de mots de passe.
- Éviter de publier des informations personnelles sensibles sur les réseaux sociaux (date de naissance, adresse, nom de jeune fille de la mère…), car elles peuvent être exploitées par un fraudeur.
- Redoubler de vigilance face aux tentatives de phishing : ne jamais cliquer sur des liens suspects reçus par e-mail ou SMS, ni fournir ses identifiants par téléphone.
Surveiller ses comptes et réagir vite
Il est recommandé d’activer toutes les notifications disponibles pour être alerté immédiatement en cas d’activité suspecte : connexion depuis un nouvel appareil, changement de mot de passe, virement bancaire inhabituel.
En cas de perte de réseau suspecte, il faut immédiatement contacter son opérateur pour bloquer la carte frauduleuse et récupérer le numéro. Il est ensuite essentiel de modifier les mots de passe de ses comptes sensibles (banque, e-mail, réseaux sociaux) et d’informer son établissement bancaire afin de bloquer d’éventuelles transactions frauduleuses. Enfin, déposer plainte auprès des autorités permet de signaler l’arnaque et de disposer d’une trace officielle, utile pour d’éventuelles indemnisations.
