La plupart des gens utilisent aujourd’hui leur smartphone pour bien plus qu’appeler : payer, accéder aux emails, gérer leurs réseaux sociaux. Ce périmètre élargi en fait une cible de choix pour une fraude méconnue, le SIM swapping. En 2024, le FBI a enregistré 982 plaintes liées à cette technique, pour un préjudice total de 25,9 millions de dollars (et ce chiffre ne reflète que les cas déclarés).
SIM swapping : définition, fonctionnement et conséquences
La carte SIM est une petite puce amovible placée dans un téléphone mobile. Chaque module est unique et associé au compte mobile de son utilisateur. Elle stocke des données personnelles : contacts, messages, identifiant opérateur.
Le SIM swapping consiste à détourner votre numéro de téléphone. Le fraudeur contacte votre opérateur en se faisant passer pour vous et prétend avoir besoin d’une nouvelle SIM (perte, vol, changement de téléphone). Des excuses banales que les services clients entendent quotidiennement.
Pour convaincre l’opérateur, il s’appuie sur des informations personnelles collectées en ligne : adresse, date de naissance, numéro client. Si le service client valide l’identité, votre numéro bascule sur la carte du fraudeur. Il peut alors réinitialiser vos mots de passe, accéder à vos emails, comptes sociaux et paiements, et contourner toute authentification à deux facteurs par SMS.
L’objectif est généralement financier. Il peut aussi s’agir de nuire à une réputation. En 2019, Jack Dorsey, alors PDG de Twitter, en a été victime : son compte, suivi par 4,5 millions d’abonnés, a publié des tweets offensants qu’il n’avait jamais écrits. D’autres célébrités ont subi la même attaque, perpétrée par le groupe « Chuckling Squad ».
Une variante plus récente exploite les eSIM : des SMS frauduleux simulent un message officiel de l’opérateur (« Une eSIM a été commandée depuis votre espace client… »), poussent la victime à saisir ses identifiants sur une fausse page, puis permettent aux pirates de commander le transfert en ligne. Sans carte physique à bloquer, la réaction est plus difficile et plus lente.
Comment savoir si vous êtes victime d’un SIM swapping ?
Le SIM swapping agit vite et sans prévenir. Quelques signaux doivent alerter :
- Vous n’avez plus de réseau : les SMS et les appels ne passent plus.
- Connecté au Wi-Fi, vous recevez des demandes de changement de mot de passe que vous n’avez pas initiées.
- Des publications apparaissent sur vos réseaux sociaux sans que vous en soyez l’auteur.
- Vos comptes bancaires affichent des transactions inconnues.
- Vos identifiants ne fonctionnent plus.
- Votre opérateur vous signale que votre numéro a été activé sur un autre appareil.
Si vous êtes dans cette situation, agissez dans cet ordre : (1) appelez votre opérateur téléphonique pour suspendre le numéro usurpé et récupérer votre ligne, (2) contactez votre banque pour bloquer les paiements et signaler les transactions frauduleuses, (3) déposez une plainte auprès de la gendarmerie ou de la police, (4) signalez la fraude bancaire sur la plateforme nationale Perceval (accessible sur masecurite.interieur.gouv.fr). Plus la réaction est rapide, plus les dommages sont limités.
Les meilleurs moyens de prévenir le SIM swapping
Aucune protection n’est absolue, mais quelques réflexes réduisent le risque :
- Définissez un code PIN fort sur votre compte mobile chez votre opérateur (Orange, SFR, Bouygues et Free proposent tous cette option dans leur espace client), différent de votre date de naissance ou de votre adresse. N’incluez jamais votre numéro de téléphone dans un mot de passe.
- Préférez une application d’authentification (Google Authenticator, Authy) plutôt que les SMS pour la double authentification. Un code par SMS peut être intercepté via SIM swapping, pas un code généré localement par une app.
- Passez vos profils en ligne en mode privé ou restreint aux amis. Les fraudeurs collectent des informations personnelles sur les comptes publics avant de contacter votre opérateur.
- Renseignez-vous auprès de votre opérateur sur ses protections anti-SIM swap : certains envoient une notification par email ou exigent une confirmation par code en boutique avant toute réémission de SIM.
Soyez aussi vigilant face aux emails ou SMS inhabituels, notamment les messages qui simulent un opérateur téléphonique. Le phishing reste le point d’entrée le plus courant : les fraudeurs y collectent vos identifiants opérateur avant de lancer le SIM swap. Ne cliquez pas sur un lien si son origine vous semble douteuse.
