Le SIM swapping (ou fraude à la carte SIM) est l’une des menaces cybercriminelles les plus insidieuses des dernières années. Cette technique d’arnaque sophistiquée permet aux fraudeurs de prendre le contrôle de votre numéro de téléphone en usurpant votre identité auprès de votre opérateur mobile. Une fois le numéro détourné, les criminels interceptent vos appels, SMS et codes d’authentification—les éléments clés qui sécurisent vos comptes bancaires, emails et réseaux sociaux.
Selon les spécialistes de Kaspersky, 65 % des Français sont régulièrement exposés à cette arnaque, avec un préjudice moyen de 10 000 euros par victime. Ce qui rend cette fraude particulièrement dangereuse ? Elle contourne directement l’une des mesures de sécurité les plus utilisées : l’authentification à deux facteurs par SMS (2FA).
Qu’est-ce que le SIM Swapping ?
Le SIM swapping est un renouvellement frauduleux de votre carte SIM à votre insu. Les cybercriminels usurpent votre identité auprès de votre opérateur téléphonique pour obtenir soit une copie physique de votre carte SIM, soit l’activation d’une eSIM (SIM virtuelle) sur leur propre appareil.
Pourquoi c’est dangereux ?
Une fois que le fraudeur contrôle votre numéro de téléphone, il intercepte tous les SMS et appels qui vous sont destinés. Cela inclut les codes de vérification envoyés par votre banque, vos services cloud, vos comptes de crypto-monnaies et vos réseaux sociaux. Avec ces codes, le criminel peut réinitialiser vos mots de passe et accéder à tous vos comptes sensibles—en moins de 30 minutes, votre compte bancaire peut être complètement vidé.
Contexte et évolution de la menace
Le SIM swapping s’est généralisé avec l’adoption massive de l’authentification par SMS. Les cybercriminels ont rapidement compris qu’il était plus facile de tromper un service client d’opérateur que de pirater directement les systèmes informatiques. Avec l’essor du dark web, les données personnelles compromises (dates de naissance, adresses, numéros de clients) sont devenues largement accessibles, transformant cette attaque en menace de masse.
Aujourd’hui, ce type de fraude ne vise plus uniquement les célébrités ou les magnats de la crypto. Tout le monde est une cible potentielle.
Comment fonctionne une attaque de SIM Swapping ?
Une attaque de SIM swapping suit une séquence méthodique que les fraudeurs ont industrialisée. Voici les étapes typiques :
Étape 1 : Collecte des données personnelles
Le fraudeur commence par rassembler un maximum d’informations sur vous :
- Nom complet et adresse
- Date de naissance
- Numéro de téléphone
- Opérateur mobile
- Numéro de client
- Derniers achats ou transactions
Ces informations proviennent de sources variées :
- Fuites de données (réseaux sociaux, bases de données compromises)
- Phishing (SMS ou emails vous incitant à cliquer sur un lien)
- Réseaux sociaux publics (profils mal sécurisés)
- Dark web (bases de données vendues par les hackers)
Exemple concret : Vous recevez un SMS disant « Colis à récupérer, cliquez ici ». Le lien vous mène à un faux site Amazon où vous entrez vos identifiants. Les données sont immédiatement compromises.
Étape 2 : Ingénierie sociale et contact avec l’opérateur
Armé de vos informations, le fraudeur contacte le service client de votre opérateur téléphonique (Orange, SFR, Bouygues, Free, etc.). Il se fait passer pour vous en utilisant une technique d’ingénierie sociale très perfectionnée.
Techniques couramment utilisées :
- Le prétexte du vol ou de la perte : « J’ai perdu mon téléphone, je dois une nouvelle carte SIM »
- L’urgence sécuritaire : « Vous avez fait deux achats de mobiles non autorisés, nous sécurisons votre ligne avec une eSIM »
- Le faux conseiller : L’arnaqueur se fait passer pour un employé d’Orange ou de la banque, parlant avec assurance et utilisant le jargon technique approprié.
- La demande d’installation d’eSIM : « Pour plus de sécurité, nous vous proposons d’installer une eSIM sur votre compte » (alors qu’il l’active sur son propre téléphone)
Étape 3 : Activation de la nouvelle carte SIM
Si l’arnaqueur a été convaincant, l’opérateur :
- Désactive votre ancienne carte SIM (vous perdez immédiatement la connexion réseau)
- Active une nouvelle carte SIM en possession du fraudeur
- Transfère votre numéro vers ce nouveau appareil
Vous perdez l’accès à votre ligne. Le criminel le récupère en entier.
Étape 4 : Interception et prise de contrôle des comptes
Avec votre numéro de téléphone, le fraudeur reçoit tous vos SMS. Il commence alors :
- Réinitialisation des mots de passe : Il accède à vos comptes (Gmail, Outlook, etc.) et demande une réinitialisation. Les codes de vérification lui sont envoyés par SMS.
- Contournement de la 2FA : Il intercepte les codes d’authentification à usage unique (OTP) avant même que vous en ayez connaissance.
- Accès aux comptes sensibles :
- Comptes bancaires : Vérification du solde, transferts d’argent
- Portefeuilles de crypto-monnaies : Transfert d’actifs vers d’autres adresses
- Comptes de messagerie : Accès aux emails professionnels et personnels
- Réseaux sociaux : Accès et usurpation d’identité
- Services cloud : Accès aux fichiers sensibles
- Vol financier : L’opération est bouclée en 5 à 10 minutes. Avant même que vous ne remarquiez quoi que ce soit, des milliers d’euros ont disparu.
Cas d’usage français spécifique : Le numéro RIO
En France, les arnaqueurs ciblent aussi le Relevé d’Identifiant Opérateur (RIO). Ce code unique permet de garder votre numéro de téléphone en changeant d’opérateur. Si un fraudeur obtient votre RIO, il peut porter votre numéro vers un autre opérateur où il contrôle entièrement votre compte.
Les méthodes des fraudeurs : Exemples concrets
Scénario 1 : L’appel du faux conseiller Orange
Vous recevez un appel :
Fraudeur : « Bonjour, c’est Orange Sécurité. Nous avons détecté deux achats de mobiles suspects sur votre compte. C’est vous qui avez commandé deux iPhones ? »
Vous avez peur. Vous dites non. Il continue :
Fraudeur : « C’est ce que nous pensions. Nous allons sécuriser votre ligne avec une eSIM, c’est plus sûr. Je vais vous envoyer un lien, cliquez dessus et installez l’application. »
Vous cliquez. Il vous demande :
Fraudeur : « Vous voyez un code SMS à 6 chiffres ? Lisez-moi ce code pour finaliser l’installation sécurisée. »
Vous lisez le code. À ce moment précis, votre carte SIM est désactivée et la sienne s’active avec votre numéro.
Durée totale : 3 minutes.
Scénario 2 : Accès via un compte opérateur compromis
Le fraudeur a déjà accès à votre espace client Orange ou SFR (suite à une fuite de données ou du phishing). Il se connecte, va dans les paramètres et demande l’activation d’une eSIM. Un code de sécurité est envoyé par SMS. Il appelle le vrai vous en prétendant être Orange :
Fraudeur : « Nous avons un code SMS à vous lire pour confirmer votre eSIM sécurisée. »
Vous lisez le code (sans soupçon). Tout se verrouille pour vous. Tout s’ouvre pour lui.
Scénario 3 : Le transfert RIO en France
Le fraudeur récupère votre RIO (obtenu par phishing ou vendu sur le dark web). Il contacte un autre opérateur (SFR, Free) en prétendant être vous et demande le portage de votre numéro Orange vers SFR avec son RIO. Dès que le transfert est validé, votre numéro change d’opérateur et le fraudeur en a le contrôle total.
Les signaux d’alerte : Reconnaître une attaque en cours
La détection précoce est critique. Si vous remarquez l’un de ces signes, une attaque est probablement en cours :
Signaux immédiats
| Signal | Signification |
|---|---|
| Perte soudaine du réseau mobile | Votre téléphone bascule en « Appels d’urgence uniquement » ou « Pas de signal » sans raison apparente. |
| Message « Carte SIM invalide » | Votre téléphone affiche une erreur de carte SIM alors que vous n’avez rien modifié. |
| Impossibilité de passer des appels ou recevoir des SMS | Vous ne pouvez plus communiquer alors que votre forfait est valide. |
| Codes de sécurité non reçus | Vous demandez un code de vérification pour votre banque mais rien n’arrive. |
Signaux secondaires
| Signal | Signification |
|---|---|
| Notifications de changement de mot de passe non initiées | Vous recevez un email confirmant la réinitialisation d’un mot de passe que vous n’avez pas demandée. |
| Impossibilité d’accéder à vos comptes | Vos identifiants corrects ne fonctionnent plus, le compte semble verrouillé. |
| Transactions bancaires non autorisées | Vous découvrez des débits suspects sur votre compte. |
| Emails de confirmation de connexion inattendus | Vous recevez des alertes de connexion à partir de lieux ou d’appareils que vous ne reconnaissez pas. |
| Modification des paramètres de sécurité | Votre numéro de téléphone de secours a changé, votre email d’accès aussi. |
Action immédiate : Si vous observez l’un de ces signaux, chaque minute compte. Contactez votre opérateur en priorité.
L’impact financier et les cas documentés
Statistiques alarmantes
- 65 % des Français sont régulièrement ciblés
- Préjudice moyen : 10 000 € par victime
- Délai de vidage de compte : Moins de 30 minutes
- Doublement des cas au Royaume-Uni en 2024 (environ 3 000 cas signalés)
Cas réels marquants
Cas 1 : L’entrepreneur britannique (BBC, 2025)
Un entrepreneur a perdu 250 000 livres sterling (environ 290 000 €) en une seule attaque. Les fraudeurs ont accédé à son compte bancaire, son email professionnel et ses portefeuilles de crypto-monnaies. Le temps total de l’attaque : moins de 15 minutes.
Cas 2 : La violation chez Free (Octobre 2024)
Une fuite de données chez l’opérateur Free a exposé des milliers de clients à un risque accru de SIM swapping. Les informations compromises (noms, adresses, dates de naissance) ont été exploitées directement par des arnaqueurs.
Cas 3 : Recrudescence en janvier 2025
Selon plusieurs médias français, les attaques se sont multipliées début 2025. Des victimes ont rapporté une perte totale de services mobiles suivie immédiatement de prélèvements bancaires massifs.
Les secteurs les plus touchés
- Crypto-monnaies : Les arnaqueurs visent les portefeuilles Bitcoin, Ethereum, etc.
- Services bancaires : Accès aux comptes et transferts rapides
- Messagerie professionnelle : Compromission des cadres pour du Business Email Compromise (BEC)
- Réseaux sociaux influents : Usurpation d’identité à grande échelle
Comment se protéger contre le SIM Swapping ?
La protection contre le SIM swapping repose sur plusieurs niveaux de sécurité. Aucune mesure seule ne suffit—vous devez en combiner plusieurs.
Niveau 1 : Protéger vos données personnelles
Chez vous :
- ✅ Limitez les informations personnelles en ligne (date de naissance, adresse, numéro de client)
- ✅ Réglez vos profils réseaux sociaux en privé
- ✅ Ne publiez jamais de photos d’identité, de passeport ou de documents officiels
- ✅ Évitez de partager votre numéro de téléphone publiquement
Sur Internet :
- ✅ Utilisez des mots de passe uniques et forts pour chaque compte
- ✅ Vérifiez régulièrement si vos données figurent dans une fuite (site : haveibeenpwned.com)
- ✅ Activez les notifications d’accès sur tous vos comptes sensibles
Niveau 2 : Sécuriser votre accès opérateur
Action essentielle : Activez un code PIN auprès de votre opérateur
Tous les grands opérateurs proposent une protection SIM :
- Orange : 3900 → « SIM Protection » ou PIN opérateur
- SFR : Service client → « PIN de déverrouillage SIM »
- Bouygues Telecom : Service de sécurité → Code PIN
- Free : Espace client → Section sécurité
Ce code PIN empêche tout transfert ou remplacement de carte SIM sans validation préalable. Les fraudeurs ne peuvent rien faire sans ce code.
Protection supplémentaire :
- Activez les alertes de modification auprès de votre opérateur
- Demandez qu’aucun changement ne soit autorisé par téléphone, SMS ou email
- Imposez un rendez-vous en boutique pour toute modification SIM
Niveau 3 : Remplacer l’authentification par SMS
Le problème : L’authentification par SMS est le maillon faible de la chaîne de sécurité. Même avec un bon mot de passe, le SMS vous expose.
La solution : Utilisez l’authentification multi-facteurs (MFA) forte :
| Méthode | Sécurité | Facilité |
|---|---|---|
| SMS (2FA) | ❌ Faible (vulnérable au SIM swapping) | ✅ Facile |
| Applications d’authentification (Google Authenticator, Authy, Microsoft Authenticator) | ✅✅ Très forte | ✅ Facile |
| Clés de sécurité physiques (YubiKey, Google Titan) | ✅✅✅ Excellente | ⚠️ Demande un appareil |
| Reconnaissance biométrique (FaceID, empreinte) | ✅✅ Forte | ✅ Facile |
Actions à entreprendre :
- Pour vos comptes critiques (banque, email, réseaux sociaux) :
- Remplacez l’authentification SMS par une application d’authentification
- Générez et conservez les codes de récupération fournis (écrivez-les sur papier)
- Pour les services financiers :
- Activez la double authentification par application
- Demandez à votre banque d’ajouter une clé biométrique (empreinte, reconnaissance faciale)
- Pour vos données sensibles :
- Utilisez une clé de sécurité physique (YubiKey)
- Entreposez-la dans un endroit sûr (coffre-fort)
Niveau 4 : Surveiller vos comptes activement
Mise en place de la surveillance :
- ✅ Activez les notifications d’accès sur tous les comptes sensibles
- ✅ Consultez régulièrement l’historique des connexions (date, heure, localisation)
- ✅ Vérifiez les appareils connectés (dans les paramètres de sécurité)
- ✅ Abonnez-vous à un service de protection d’identité (certains gratuits, certains payants)
Services de monitoring :
- Kaspersky Internet Security (inclut la surveillance d’identité)
- Avast Premium Security
- Credit Karma (États-Unis, gratuit)
- MyCyberGarden (France, gratuit)
Niveau 5 : Reconnaître les tentatives de fraude
Conseils généraux :
- ❌ Ne cliquez jamais sur des liens dans les SMS/emails de votre opérateur
- ❌ Ne partagez jamais vos codes SMS, même si quelqu’un prétend être votre opérateur
- ❌ Ne permettez jamais au support client de partager votre écran via WhatsApp
- ✅ Si doute : raccrochez et rappelez le numéro officiel de votre opérateur
Phrases d’alerte :
- « Vous avez fait des achats suspects » → Urgence artificielle
- « Nous sécurisons votre ligne » → Prétexte classique
- « Lisez-moi le code reçu » → Extraction directe du code
Que faire si vous êtes victime de SIM Swapping ?
Si vous suspectez une attaque, agissez dans les 30 premières minutes. Voici les étapes critiques :
Étape 1 : Rétablir votre accès réseau (5-10 minutes)
- Rendez-vous immédiatement en boutique de votre opérateur
- Apportez une pièce d’identité (récente)
- Demandez à parler au service fraude (pas un simple vendeur)
- Signalez le SIM swapping et demandez :
- Désactivation immédiate de la fausse SIM
- Activation d’une nouvelle carte SIM en votre possession
- Restauration de votre numéro original
Si impossible de vous rendre en boutique :
- Appelez le service fraude : 3900 (Orange), 3976 (Sosh)
- Ayez votre pièce d’identité à proximité pour vérification vocale
Étape 2 : Sécuriser vos comptes (10-15 minutes)
Dès que vous retrouvez votre numéro :
- Changez tous vos mots de passe (depuis un appareil sûr) :
- Email professionnel et personnel
- Compte opérateur télécom
- Comptes bancaires
- Réseaux sociaux
- Services cloud
- Vérifiez les appareils connectés :
- Gmail → Paramètres → Sécurité → Appareils
- Outlook → Paramètres → Sécurité et confidentialité → Appareils
- Supprimez tous les appareils inconnus
- Activez une authentification forte :
- Remplacez le SMS par une application d’authentification
- Activez un code PIN opérateur
Étape 3 : Contacter votre banque (immédiatement)
- Appelez votre banque (numéro de secours au dos de votre carte)
- Signalez le SIM swapping et les risques de fraude bancaire
- Demandez un gel temporaire de vos comptes si nécessaire
- Vérifiez toutes les transactions récentes
- Déposez plainte pour fraude bancaire si de l’argent a disparu
Délai critique : Moins de 30 minutes après la perte de votre numéro, les criminels peuvent accéder à vos comptes bancaires.
Étape 4 : Porter plainte auprès des autorités
En ligne (France) :
- Plateforme THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les E-escroqueries)
- Site : www.thesee.fr
- Remplissez le formulaire avec les détails de l’attaque
En personne :
- Commissariat de police ou brigade de gendarmerie
- Apportez : pièce d’identité, justificatifs, historique des appels, emails de confirmation
Documents à conserver :
- ✅ Correspondances avec l’opérateur
- ✅ Notifications de changement de compte
- ✅ Relevés bancaires (transactions frauduleuses)
- ✅ SMS ou emails d’alerte
- ✅ Historique des appels reçus
Étape 5 : Signaler à la CNIL (si données compromises)
Si vous estimez que vos données personnelles n’ont pas été protégées correctement :
- Accédez à www.cnil.fr
- Cliquez sur « Vous avez un problème de données personnelles »
- Remplissez le formulaire de plainte
- Joignez les pièces justificatives
FAQ : Les questions les plus fréquentes
Combien de temps entre la perte de mon SIM et le vol financier ?
Environ 5 à 30 minutes. Les fraudeurs agissent très rapidement. Une fois qu’ils ont votre numéro, ils commencent immédiatement à réinitialiser vos mots de passe et à accéder à vos comptes. Chaque minute compte.
Comment les fraudeurs obtiennent-ils mes données personnelles ?
Réponse : Par plusieurs canaux :
- Ingénierie sociale (prétexter être votre banque)
- Fuites de données publiques (réseaux sociaux, services compromis)
- Phishing (SMS/emails vous incitant à cliquer)
- Dark web (vente de bases de données)
Un code PIN opérateur est-il vraiment efficace ?
Oui. C’est la première ligne de défense. Aucun changement de SIM ne peut être effectué sans ce code. Même si le fraudeur a vos données, il est bloqué.
Est-il possible de récupérer l’argent volé ?
Difficile, mais pas impossible. La récupération dépend de :
- Rapidité de signalement (moins de 30 minutes = meilleures chances)
- Où l’argent a été transféré (compte bancaire français = plus facile à bloquer)
- Coopération de la banque et de la police
Les poursuites judiciaires sont longues. La prévention reste votre meilleure arme.
Les eSIM sont-elles plus sûres que les SIM physiques ?
Non, au contraire. Les eSIM créent des processus numériques pour les transferts de numéros, ouvrant potentiellement de nouvelles voies d’attaque. Cependant, les eSIM modernes incluent aussi des mesures de sécurité renforcées. Le risque reste similaire.
Que faire si je voyage à l’étranger ?
- Avisez votre opérateur de votre déplacement
- Activez un code PIN avant de partir
- Utilisez une application d’authentification plutôt que des SMS
- Limités les transactions sensibles depuis l’étranger
Mon entreprise peut-elle être touchée ?
Oui, gravement. Si un employé est victime de SIM swapping, les fraudeurs accèdent à son email professionnel. Cela ouvre la porte à du :
- Business Email Compromise (BEC) : usurpation du PDG pour des transferts
- Vol de données confidentielles
- Accès aux systèmes internes
Protection entreprise : MFA fort (clés physiques), formation des employés, surveillance des accès.