Le SIM swap (ou “échange de SIM”) est l’une des formes de fraude les plus dévastatrices de notre époque numérique. En quelques heures, des victimes ont perdu des dizaines de milliers d’euros de cryptomonnaies, vu leurs comptes email et réseaux sociaux piratés, et subi des mois de procédures complexes pour récupérer leur identité numérique.
Ce qui rend cette attaque particulièrement vicieuse : elle exploite non pas une faille technique dans tes logiciels ou appareils, mais une faille humaine dans les procédures des opérateurs téléphoniques. Ton antivirus ne peut rien contre ça. Comprendre cette attaque dans le détail, c’est la première étape pour s’en protéger efficacement.
TL;DR : Le SIM swap consiste à convaincre ton opérateur téléphonique de transférer ton numéro sur une nouvelle SIM contrôlée par un attaquant. Pour se protéger : utilise une application 2FA (pas le SMS) pour tes comptes critiques, mets un code PIN sur ton compte opérateur, réserve ton vrai numéro aux services essentiels, et utilise des numéros virtuels SMSCode pour les services en ligne courants.
Comment fonctionne une attaque SIM swap, étape par étape
Pour se défendre contre une attaque, il faut comprendre précisément comment elle se déroule. Voici les quatre phases d’un SIM swap réussi.
Phase 1 : Collecte d’informations (reconnaissance)
Avant de contacter ton opérateur, l’attaquant passe du temps à rassembler des informations sur toi. Plus il en sait, plus il peut se faire passer pour toi de manière convaincante. Sources courantes :
Réseaux sociaux publics : Date de naissance, ville de résidence, nom de jeune fille de la mère, nom d’animal de compagnie… Autant d’éléments utilisés dans les questions de sécurité des opérateurs. Un profil Facebook public ou un LinkedIn détaillé sont des mines d’or pour l’ingénierie sociale.
Violations de données : Des bases de données d’emails + mots de passe + numéros de téléphone circulent sur le dark web après des violations chez des services en ligne. Ces données permettent d’associer ton adresse email à ton numéro, et parfois d’autres informations personnelles.
Phishing : Emails ou SMS frauduleux (“Votre facture Orange est disponible”, “Votre livraison Chronopost est bloquée”) qui te poussent à renseigner des informations sur de faux sites.
Ingénierie sociale directe : Appels téléphoniques frauduleux prétendant être ton opérateur, ta banque, ou un service de livraison — pour soutirer des informations de vérification.
Données achetées : Des courtiers en données vendent des profils comportementaux. Certaines informations peuvent être achetées légalement ou illégalement.
Phase 2 : Convaincre l’opérateur (l’étape clé)
Armé d’informations sur toi, l’attaquant contacte le service client de ton opérateur — par téléphone, en boutique, ou via le service de chat en ligne. Il se présente comme toi, invoque une raison plausible (téléphone perdu, SIM endommagée, changement d’appareil), et demande le transfert de ton numéro vers une nouvelle SIM.
Les opérateurs ont des procédures de vérification : demande de code PIN, questions de sécurité, vérification de données personnelles. Mais ces procédures ne sont pas infaillibles. Une combinaison de bonnes informations sur toi + un agent téléphonique moins vigilant + de la persistance peut suffire. Des cas documentés montrent que certains attaquants appellent plusieurs fois jusqu’à tomber sur un agent plus accommodant.
En boutique, des attaquants se sont présentés avec de faux documents d’identité ou des documents volés pour convaincre les vendeurs.
Phase 3 : Prise de contrôle immédiate
Dès que le transfert est effectué, ton vrai téléphone affiche “Pas de service” ou “SIM invalide”. Tu perds immédiatement l’accès au réseau téléphonique. L’attaquant, avec sa nouvelle SIM, reçoit maintenant tous tes appels et SMS entrants.
Il passe immédiatement à l’action — il sait qu’il a une fenêtre limitée avant que tu réalises ce qui se passe et contactes ton opérateur.
Phase 4 : Exploitation (les minutes qui comptent)
Avec accès à ton numéro, l’attaquant va sur tes comptes importants et utilise les fonctions “mot de passe oublié” ou “réinitialiser le compte” qui envoient un code par SMS. Il reçoit ces codes sur sa SIM, réinitialise les mots de passe, et prend le contrôle.
Ordre d’attaque typique :
- D’abord l’email principal (permet d’accéder à pratiquement tous les autres comptes via “mot de passe oublié”)
- Les wallets crypto et exchanges (transactions irréversibles — priorité pour les attaquants)
- Les comptes bancaires (virement ou achats frauduleux)
- Les réseaux sociaux et comptes professionnels (potentielle revente ou demande de rançon)
En quelques heures, les dommages peuvent être catastrophiques et souvent irréparables — notamment pour les cryptomonnaies.
Qui est réellement visé par le SIM swap ?
Contrairement à une idée reçue, le SIM swap ne cible pas uniquement les célébrités ou les millionnaires. La vulnérabilité est systémique : toute personne qui utilise le SMS comme méthode de 2FA sur des comptes avec de la valeur est potentiellement exposée.
Détenteurs de cryptomonnaies : Cibles de choix car les transactions blockchain sont irréversibles. Même un petit portefeuille crypto vaut l’effort pour les attaquants.
Influenceurs et créateurs de contenu : Leurs comptes Instagram, TikTok, ou YouTube ont une valeur marchande significative (revente, extorsion, redirection d’audience).
Entrepreneurs et indépendants : Accès aux comptes email professionnels, outils SaaS, et potentiellement données clients.
Toute personne avec SMS 2FA sur des comptes importants : C’est la vulnérabilité, pas la notoriété. Si tu as un compte bancaire, des économies, ou des cryptos protégés uniquement par un SMS 2FA, tu es une cible potentielle.
Les protections essentielles par ordre de priorité
Protection n°1 : Remplacer le SMS 2FA par des méthodes plus robustes
C’est la protection la plus importante et la plus efficace. Si tes comptes critiques n’utilisent pas le SMS pour le 2FA, un SIM swap devient beaucoup moins dangereux — l’attaquant peut recevoir tes SMS, mais il n’t peut pas accéder à tes comptes s’ils sont protégés par une méthode différente.
Application TOTP (Time-based One-Time Password) : Google Authenticator, Authy, Aegis (Android), ou le gestionnaire de mots de passe 1Password génèrent des codes à 6 chiffres qui changent toutes les 30 secondes. Ces codes sont générés localement sur ton appareil, sans connexion réseau, sans SMS. Un attaquant avec ta SIM ne peut pas accéder à ces codes.
Clé de sécurité physique (FIDO2/WebAuthn) : YubiKey, Google Titan Key, ou Nitrokey sont des clés USB ou NFC que tu connectes physiquement pour t’authentifier. C’est le niveau de protection le plus élevé disponible. Résistant au phishing et totalement imperméable au SIM swap. Supporté par Google, Microsoft, GitHub, et de nombreux autres services.
Application d’authentification propriétaire : Certaines banques françaises (BNP, Crédit Agricole, Société Générale) proposent leur propre application d’authentification avec des notifications push. C’est plus sécurisé que les SMS car les notifications push ne peuvent pas être interceptées via un SIM swap.
Priorité d’activation (dans cet ordre) :
- Comptes email principaux (Gmail, Outlook)
- Exchanges crypto et wallets
- Comptes bancaires et paiement
- Réseaux sociaux professionnels ou avec de la valeur
- Autres comptes avec informations personnelles sensibles
Protection n°2 : Activer le code PIN opérateur (souvent négligé)
Chaque opérateur permet de configurer un code PIN ou un mot de passe supplémentaire sur ton compte. Avec ce code activé, n’importe qui qui contacte le service client pour modifier ton compte doit fournir ce code à l’avance.
Orange : Espace client en ligne → Mon compte → Sécurité → Code d’accès secret SFR : Mon compte SFR → Gérer mes informations personnelles → Code confidentiel Free : Espace abonné Free → Mon profil → Modifier mon code secret Bouygues Telecom : Espace client → Mes informations personnelles → Code secret
Choisis un code PIN unique (pas le même que tes autres codes) et mémorise-le. Documente-le dans ton gestionnaire de mots de passe.
Certains opérateurs proposent aussi une “protection de la portabilité” ou un “verrou de ligne” qui empêche le transfert de numéro sans action préalable du titulaire — renseigne-toi auprès de ton opérateur.
Protection n°3 : Réduire l’exposition de ton vrai numéro
Plus ton vrai numéro est présent sur des services en ligne, plus un attaquant a de chances de le trouver dans des bases de données compromises, et plus il peut l’associer à ton identité numérique.
La règle des deux niveaux :
- Numéro réel (confidentiel) : Banque, assurances, médecin, administration, contacts personnels de confiance. À ne pas donner aux services en ligne.
- Numéros virtuels (pour les services en ligne) : Réseaux sociaux, applications, services d’abonnement, e-commerces. Les numéros virtuels SMSCode servent de bouclier entre ton identité réelle et les services en ligne.
Si une violation de données expose les informations d’un service en ligne (ce qui arrive régulièrement), c’est un numéro virtuel qui est exposé — pas ton vrai numéro lié à ta vie réelle et à tes comptes bancaires.
Protection n°4 : Surveiller les signaux d’alarme
Signal immédiat d’un SIM swap en cours : Ton téléphone perd soudainement tout signal réseau (appels + SMS + données mobiles) dans une zone où tu as normalement du réseau. C’est le signe que ton numéro vient d’être transféré.
Action immédiate si ça se produit :
- Connecte-toi à internet via WiFi (ta connexion WiFi n’est pas affectée)
- Appelle ton opérateur depuis un autre téléphone pour signaler et bloquer le transfert
- Change les mots de passe de tes comptes critiques depuis un autre appareil
- Contacte ta banque pour mettre en place une alerte sur les transactions
Ne tarde pas — chaque minute compte.
Comment les numéros virtuels changent l’équation de sécurité
Un numéro virtuel SMSCode ne peut pas faire l’objet d’un SIM swap de la façon traditionnelle, et voici précisément pourquoi.
Le SIM swap classique exploite la relation entre ton numéro de téléphone et une SIM physique gérée par un opérateur téléphonique traditionnel (Orange, SFR, Free, Bouygues). Il repose sur les procédures internes de ces opérateurs et sur la manipulation d’agents humains.
Un numéro virtuel SMSCode est géré par SMSCode, pas par un opérateur traditionnel. Il n’existe pas de SIM physique associée à ce numéro dans le réseau d’un opérateur traditionnel. L’accès au numéro est contrôlé par ton compte SMSCode (protégé par email + mot de passe fort + 2FA), pas par une procédure téléphonique auprès d’un agent potentiellement manipulable.
Concrètement : un attaquant ne peut pas appeler Orange ou SFR pour “récupérer” un numéro virtuel SMSCode, parce que ce numéro ne leur appartient pas et n’est pas dans leurs systèmes. Il devrait compromettre ton compte SMSCode lui-même — ce qui est une attaque d’une nature entièrement différente, plus difficile et plus facilement défendable.
Que faire si tu es victime de SIM swap ?
Si tu réalises que tu es victime d’un SIM swap en cours ou que ça vient de se produire, chaque minute compte.
Actions immédiates (premières minutes) :
- Depuis un WiFi ou un autre appareil, accède à tes comptes les plus critiques et change les mots de passe
- Depuis un autre téléphone, appelle le service client de ton opérateur (le numéro est sur leur site) — signale le SIM swap et demande le blocage immédiat et le retransfer de ton numéro
- Contacte ta banque pour bloquer temporairement les transactions sortantes et mettre en place une alerte
- Désactive le SMS 2FA sur tous tes comptes auxquels tu peux encore accéder
Actions à suivre (heures suivantes) :
- Vérifie l’activité récente sur tous tes comptes importants (transactions bancaires, emails envoyés, activité sur les exchanges crypto)
- Dépose une plainte auprès de la police ou de la gendarmerie — c’est indispensable pour les procédures auprès des banques, des opérateurs, et des assurances
- Contacte la CNIL (cnil.fr) si des données personnelles ont été utilisées frauduleusement
- Contacte les plateformes piratées via leurs procédures officielles de récupération de compte
Documentation à rassembler :
- Captures d’écran de toute activité frauduleuse détectée
- Historique des appels et SMS si accessible
- Confirmation écrite de l’opérateur sur le SIM swap
- Tout échange avec le service client
Le SMS 2FA reste acceptable pour les comptes peu sensibles
Une précision importante : la protection contre le SIM swap doit être proportionnée à ce que tu protèges.
Pour les comptes peu sensibles (forums, services d’essai, newsletters, applications non financières), le SMS 2FA reste acceptable. Le risque d’être ciblé par un SIM swap sur ces comptes est faible — un attaquant cherche un retour sur investissement.
Réserve les méthodes d’authentification les plus robustes (TOTP, clé physique) pour tes comptes les plus précieux : email principal, banque, exchange crypto, comptes professionnels avec accès à des données importantes.
FAQ
Mon opérateur peut-il m’empêcher d’être victime de SIM swap ?
Les opérateurs français ont des obligations légales croissantes sur ce point, notamment via les recommandations de l’ARCEP. Mais ils ne peuvent pas garantir un risque zéro — les procédures font intervenir des agents humains, qui peuvent être manipulés. Ta meilleure protection reste de ne pas dépendre du SMS pour tes comptes critiques, quelle que soit la qualité des procédures de ton opérateur.
Le SIM swap est-il courant en France ?
Oui, et en augmentation depuis 2020. Les cas signalés aux autorités et à la CNIL augmentent significativement, notamment avec la popularité des cryptomonnaies et la valeur croissante des comptes en ligne. C’est un crime qui peut rapporter beaucoup aux attaquants avec un niveau technique relativement accessible.
Un VPN me protège-t-il du SIM swap ?
Non. Un VPN protège ta connexion internet (ce que les sites voient de ton adresse IP). Il ne change rien à la vulnérabilité au SIM swap, qui exploite les procédures téléphoniques de ton opérateur — un mécanisme entièrement différent de ta connexion internet.
Comment savoir si mon numéro a été exposé dans une violation de données ?
Utilise haveibeenpwned.com pour vérifier si ton email a été exposé dans des violations connues — ces violations incluent souvent aussi des numéros de téléphone. Tu peux aussi créer des alertes pour recevoir une notification si ton email apparaît dans de futures violations. Pour les numéros directement, les ressources sont plus limitées, mais la règle de prudence s’applique : assume que ton numéro est dans au moins une base de données compromise si tu l’as fourni à de nombreux services en ligne au fil des années.
Les opérateurs MVNO (Lebara, Prixtel, NRJ Mobile, etc.) sont-ils plus vulnérables ?
Les MVNO (Mobile Virtual Network Operators) utilisent les réseaux des opérateurs principaux mais ont leurs propres équipes de service client et leurs propres procédures de vérification. La vulnérabilité dépend plus de la qualité des procédures internes de chaque opérateur que du statut MVNO. Certains MVNO avec des équipes de support réduites peuvent avoir des procédures moins rigoureuses — renseigne-toi sur la politique de sécurité de ton opérateur spécifique.
Ma banque peut-elle récupérer l’argent perdu via un SIM swap ?
Cela dépend de plusieurs facteurs : la banque concernée, les preuves disponibles, et le délai de signalement. Les banques françaises ont des obligations de remboursement pour les fraudes non autorisées, mais elles peuvent contester si elles estiment que tu n’as pas pris les précautions raisonnables. Une plainte déposée rapidement auprès des autorités renforce considérablement ta position. Les cryptomonnaies transférées sont généralement irrécupérables.
Peut-on faire un SIM swap sur un numéro étranger depuis la France ?
Oui, si le numéro est géré par un opérateur étranger, l’attaquant doit contacter ce service client étranger. Les procédures varient selon les pays. Certains pays ont des procédures plus ou moins rigoureuses. Un numéro virtuel SMSCode n’est pas un numéro d’opérateur traditionnel, donc la question ne s’applique pas de la même manière.
Renforce ta sécurité dès maintenant : obtiens des numéros virtuels sur SMSCode pour réduire l’exposition de ton vrai numéro, active une application TOTP sur tous tes comptes critiques, et configure un code PIN sur ton compte opérateur. Pour approfondir la sécurité de tes numéros, consulte notre guide sur la sécurité des numéros virtuels et notre article sur le RGPD et les numéros virtuels.