Main tenant un smartphone en noir et blanc symbolisant la vulnérabilité du numéro de téléphone face au SIM swap

SIM Swap : quand votre numéro de téléphone devient votre maillon faible

par

Temps de lecture estimé : 8 minutes

Il est 9h12.

Votre téléphone perd le réseau.

Vous pensez à une panne.

À 9h18, vous recevez un email : « Votre mot de passe a été modifié. »

Vous n’avez rien changé.

Votre numéro vient d’être transféré.

Qu’est-ce que le SIM swap ?

On imagine souvent le piratage comme quelque chose de très technique. Un génie derrière un clavier, un virus complexe, une faille informatique spectaculaire.

Le SIM swap n’a rien de tout ça.

Un attaquant contacte votre opérateur téléphonique. Il prétend être vous — qu’il a perdu sa carte SIM, ou qu’il change de téléphone. Il dispose de quelques informations sur vous : nom, adresse, date de naissance. Des données souvent récupérées lors de fuites de données ou simplement collectées sur vos réseaux sociaux.

Si la procédure de vérification de l’opérateur est insuffisante — ce qui arrive — votre numéro est transféré vers une nouvelle carte SIM qu’il contrôle.

Votre téléphone perd le réseau. Le sien reçoit vos SMS.

Et tout commence.

Note technique : Les attaquants peuvent aussi utiliser la portabilité de numéro, une procédure légale permettant de conserver son numéro en changeant d’opérateur. Dans ce cas, c’est l’opérateur destinatairequi est contacté, pas le vôtre — ce qui complique parfois la détection et la réaction.

SIM swap : les chiffres que vous devez connaître

Le SIM swap n’est pas une menace théorique. Les chiffres parlent d’eux-mêmes.

Aux États-Unis, le FBI a enregistré 982 plaintes en 2024 pour un total de 26 millions de dollars de pertes déclarées— en sachant que les victimes ne signalent pas systématiquement les faits.

Au Royaume-Uni, l’explosion est encore plus brutale : +1 055 % de cas en 2024, passant de 289 incidents à près de 3 000 selon le rapport Fraudscape 2025 de Cifas. C’est la hausse la plus forte jamais enregistrée pour un seul type de fraude.

En France, le contexte est particulièrement préoccupant. La violation de données chez Free en octobre 2024 a exposé les informations personnelles de millions d’abonnés — nom, adresse, RIB, numéro IMSI. Ce sont exactement les données dont un attaquant a besoin pour convaincre un opérateur de transférer votre ligne. Si vous êtes abonné Free, vérifiez si vos données ont été compromises sur haveibeenpwned.com.

Deux cas concrets pour comprendre l’enjeu réel

Janvier 2024 — La SEC américaine hackée via SIM swap. Le compte X officiel du régulateur financier américain a été compromis. Les attaquants ont posté un faux communiqué affirmant l’approbation des ETF Bitcoin, ce qui a temporairement fait monter le cours. L’auteur a plaidé coupable et écopé de 14 mois de prison. Même les institutions officielles ne sont pas à l’abri.

Mars 2025 — T-Mobile condamné à 33 millions de dollars. Un seul SIM swap a suffi pour vider le portefeuille crypto d’un client de 38 millions de dollars. Les attaquants avaient contourné le verrouillage de sécurité spécifique (« NOPORT ») en convainquant un agent de délivrer un QR code eSIM à distance — malgré les protections supplémentaires activées sur le compte. La justice a établi un précédent en retenant la responsabilité de l’opérateur.

Le vrai problème n’est pas la carte SIM

Le problème est plus profond.

Nous avons transformé notre numéro de téléphone en pièce d’identité numérique, sans vraiment en avoir décidé ainsi. Aujourd’hui, votre numéro sert à :

  • récupérer un mot de passe oublié
  • recevoir des codes de sécurité
  • confirmer une opération bancaire
  • prouver que « c’est bien vous »

Nous avons confié une partie de notre identité numérique au réseau téléphonique. Et ce réseau repose encore largement sur des procédures humaines — des agents qui vérifient votre identité par téléphone ou en boutique, avec des informations dont les réponses se trouvent souvent sur LinkedIn, Facebook, ou dans la dernière fuite de données.

Ce n’est pas un reproche aux opérateurs. C’est une réalité structurelle. Et tant qu’on n’en prend pas conscience, on reste vulnérable.

Le faux sentiment de sécurité du 2FA par SMS

Beaucoup pensent : « J’ai activé la double authentification, je suis protégé. »

C’est vrai… en partie. Tout dépend du type de 2FA utilisé.

2FA par SMS ⚠️ — à éviter

Le code arrive par message texte. Si votre numéro est transféré via un SIM swap, le code l’est aussi. L’attaquant reçoit votre code à votre place.

Ce n’est pas seulement une opinion : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) déconseille officiellement le 2FA par SMS, car le protocole SS7 sur lequel reposent les SMS n’est pas considéré comme sécurisé. La CNIL, dans sa recommandation de mars 2025 sur l’authentification multifacteur, qualifie l’OTP par SMS de « canal peu ou pas sécurisé ».

Le 2FA par SMS reste mieux que rien. Mais il ne protège pas contre le SIM swap.

👉 Pour comprendre en détail comment fonctionnela double authentification et pourquoi certaines méthodes sont plus sûres que d’autres, consultez notre guide complet sur le 2FA.

2FA par application ✅ — recommandé

Le code est généré directement sur votre téléphone via une application dédiée (on y revient plus bas). Il ne passe jamais par le réseau téléphonique. Même si un attaquant contrôle votre numéro, il ne voit rien.

Clé physique (FIDO2 / passkey) ✅✅ — niveau maximal

Le secret cryptographique ne quitte jamais votre appareil. Aucun code n’est transmis, donc aucun code n’est interceptable. C’est la méthode la plus robuste aujourd’hui, recommandée par l’ANSSI pour les accès sensibles.

Une authentification forte ne rend pas le SIM swap impossible. Elle le rend largement inutile. Et c’est là toute la différence.

L’eSIM : une surface d’attaque supplémentaire

L’eSIM — la carte SIM numérique intégrée à votre téléphone — apporte une commodité réelle. Mais elle a aussi créé de nouvelles procédures, et donc de nouveaux points de faiblesse humains.

Là où un SIM swap classique nécessitait autrefois parfois une visite en boutique, certains opérateurs permettent aujourd’hui d’activer une eSIM via un simple QR code envoyé à distance. Des analyses d’incidents datant de début 2025 montrent que cette évolution a drastiquement réduit le temps d’exécution de certaines attaques.

C’est d’ailleurs exactement ce qui s’est passé dans le cas T-Mobile cité plus haut : l’attaquant a obtenu un QR code eSIM par téléphone, contournant ainsi toutes les protections physiques mises en place.

Peut-on empêcher totalement un SIM swap ?

Non.

Vous ne pouvez pas garantir qu’un opérateur ne commettra jamais d’erreur humaine. Vous ne pouvez pas non plus contrôler ce que font les centres d’appel avec vos données.

Mais la vraie question n’est pas : Peut-on empêcher l’attaque ?

La vraie question est : Si mon numéro est transféré demain, que peut faire l’attaquant avec ?

Si votre sécurité dépend entièrement du SMS : le risque est élevé.

Si votre système ne dépend plus du SMS : le SIM swap perd l’essentiel de son pouvoir.

C’est sur ça que vous pouvez agir.

Comment se protéger concrètement

Pas besoin d’être expert. Il suffit de changer quelques habitudes et de réorganiser votre architecture de sécurité.

1. Remplacer le 2FA par SMS par une application d’authentification

C’est le geste le plus important, et aussi le plus simple à mettre en place.

Ces applications génèrent un code à usage unique directement sur votre téléphone, sans aucun transit par le réseau téléphonique. Un code toutes les 30 secondes, uniquement visible sur votre appareil.

Applications recommandées :

  • Aegis (Android — open source, auditable, sans télémétrie, recommandé si vous êtes sensible à la souveraineté numérique)
  • Proton Authenticator (iOS/Android — développé par Proton, l’éditeur suisse connu pour ProtonMail, bonne option si vous cherchez un écosystème respectueux de la vie privée)
  • Google Authenticator (iOS/Android — solution simple et largement compatible, bonne option pour débuter même si elle dépend de l’écosystème Google)
  • Microsoft Authenticator (iOS/Android — alternative sérieuse, avec option de sauvegarde cloud)

Commencez par vos comptes les plus critiques : email principal, banque, réseaux sociaux. Remplacez le 2FA par SMS par l’une de ces applications, compte par compte.

2. Sécuriser votre email en priorité absolue

Votre adresse email est la clé de voûte de toute votre identité numérique. Si un attaquant y accède, il peut réinitialiser presque n’importe quel compte — banque, administration, réseaux sociaux.

Actions concrètes :

  • Mot de passe long, unique, généré et stocké dans un gestionnaire de mots de passe (Bitwarden, KeePass…)
  • Double authentification par application — jamais par SMS
  • Idéalement, une clé physique (YubiKey, etc.) pour le niveau de protection maximal

Un email solide réduit considérablement les conséquences d’un SIM swap réussi.

3. Sécuriser votre compte chez votre opérateur

C’est la mesure la plus directe contre le SIM swap, et pourtant souvent oubliée.

Votre espace client opérateur est la porte d’entrée principale d’une attaque. Il faut la verrouiller autant que possible.

Ce que vous pouvez faire dès maintenant :

  • Définir un mot de passe d’accès solide et unique pour votre espace client
  • Activer la double authentification sur l’espace client si votre opérateur le propose
  • Activer les alertes SMS/email pour toute modification de votre compte (changement de SIM, portabilité, etc.)
  • Appeler votre opérateur et demander explicitement qu’aucune modification de votre ligne ne puisse être effectuée sans vérification renforcée — certains opérateurs peuvent mettre en place des procédures spécifiques sur demande

Important : Les procédures de sécurité varient selon les opérateurs et évoluent régulièrement. Plutôt que de suivre un tutoriel potentiellement obsolète, contactez directement votre service client et demandez quels mécanismes de protection contre le SIM swap sont disponibles sur votre ligne. C’est le moyen le plus fiable d’obtenir une information à jour.

4. Réduire l’exposition de votre numéro

Posez-vous cette question simple : Si quelqu’un cherche mon numéro sur Internet aujourd’hui, où peut-il le trouver ?

Actions concrètes :

  • Retirer votre numéro des profils publics (LinkedIn, Facebook, forums, annuaires en ligne)
  • Ne pas l’utiliser comme identifiant universel pour toutes vos inscriptions
  • Utiliser une adresse email plutôt qu’un numéro pour les services non essentiels

Moins votre numéro circule publiquement, moins il est une cible attrayante.

5. Faut-il utiliser un second numéro ?

Un second numéro peut être utile, non pas pour remplacer le premier, mais pour compartimenter.

Par exemple :

  • Numéro principal : usage quotidien, famille, travail
  • Numéro secondaire : réservé uniquement aux comptes sensibles, jamais communiqué publiquement

Des services de numéros virtuels (VoIP) peuvent remplir ce rôle à moindre coût.

Cela dit, soyons clairs : un second numéro ne rend pas le SIM swap impossible. Il limite simplement l’exposition.

La protection fondamentale reste la même : ne pas faire reposer la sécurité de vos comptes critiques sur un SMS.

Les signes d’alerte : reconnaître une attaque en cours

Agir vite est crucial. Voici les signaux à ne pas ignorer :

  • Perte soudaine de réseau sans raison apparente — c’est souvent le premier signe, et le plus caractéristique
  • Email ou SMS de confirmation d’un changement de SIM ou de portabilité que vous n’avez pas initié
  • Codes 2FA qui n’arrivent plus sur votre téléphone
  • Notifications de connexion depuis des appareils ou localisations inconnues
  • Transactions bancaires suspectes ou alertes de votre banque

Si plusieurs de ces signaux apparaissent en même temps, n’attendez pas.

Que faire si vous êtes victime d’un SIM swap ?

Dans les premières minutes

  1. Appelez votre opérateur immédiatement depuis un téléphone fixe ou celui d’un proche. Signalez la fraude et demandez à récupérer votre numéro en urgence.
  2. Changez le mot de passe de votre email principal depuis un ordinateur de confiance, en utilisant uniquement votre application 2FA (pas de SMS).
  3. Contactez votre banque et demandez le gel temporaire de votre compte si des transactions suspectes apparaissent.

Dans les heures suivantes

  1. Changez les mots de passe de tous vos comptes sensibles (email, banque, réseaux sociaux).
  2. Désactivez le 2FA par SMS sur tous vos comptes et remplacez-le par une application.
  3. Déposez plainte auprès de la police ou de la gendarmerie. Conservez toutes les preuves : captures d’écran, relevés bancaires, journaux de connexion.
  4. Signalez votre situation sur cybermalveillance.gouv.fr — la plateforme officielle d’assistance aux victimes de cyberattaques en France, qui peut vous orienter selon votre situation.

Ce que le SIM swap révèle vraiment

Les attaques les plus efficaces ne contournent pas la technologie.

Elles contournent les procédures humaines.

Nous avons progressivement accepté que notre numéro devienne une preuve d’identité. Mais un numéro de téléphone n’est pas une identité. C’est une redirection — gérée par des êtres humains, dans des centres d’appel, avec des procédures imparfaites.

Tant que notre sécurité numérique repose sur cette redirection, elle restera structurellement fragile.

Résumé : 5 actions prioritaires pour se protéger

Vous ne pouvez pas empêcher toutes les attaques. Mais vous pouvez construire un système où une seule faille ne suffit plus.

  1. Remplacer le 2FA par SMS par une application d’authentification (Aegis, Proton Authenticator, Google Authenticator)
  2. Sécuriser votre email avec un mot de passe fort et un 2FA par application
  3. Contacter votre opérateur pour activer toutes les protections disponibles sur votre ligne
  4. Retirer votre numéro des espaces publics et limiter son exposition
  5. Connaître les signes d’alerte et savoir comment réagir rapidement

Ce ne sont pas des gestes spectaculaires. Mais ils changent profondément votre niveau de sécurité réel.

Comprendre le risque. Agir simplement. Avancer progressivement.

C’est ainsi que l’on reprend le contrôle.

Sources : FBI Internet Crime Complaint Center (IC3) — Annual Report 2024 · Cifas Fraudscape 2025 · ANSSI — Recommandations relatives à l’authentification multifacteur et aux mots de passe (cyber.gouv.fr) · CNIL — Recommandation relative à l’authentification multifacteur (mars 2025) · Proofpoint Threat Reference · cybermalveillance.gouv.fr

⚠️ Note de mise à jour : Les procédures de sécurité proposées par les opérateurs téléphoniques évoluent régulièrement. Les informations de cet article ont été vérifiées à la date de publication. Si vous constatez une information obsolète, contactez-nous. Nous mettons nos articles à jour dès que nécessaire.

Comprendre le risque.

Agir simplement.

Avancer progressivement.

C’est ainsi que l’on reprend le contrôle.

Marc

Laisser un commentaire