Attaque MFA Ingénierie sociale opérateur Cible : comptes bancaires et crypto Mis à jour · Avril 2026

SIM swap

Aussi appelé : swap de SIM · détournement de carte SIM · SIM swapping · SIM jacking
Réponse rapide

Attaque par ingénierie sociale dans laquelle un attaquant convainc l’opérateur mobile de transférer un numéro vers une nouvelle carte SIM qu’il contrôle, pour intercepter SMS et appels entrants.

En une phrase — Le SIM swap est une attaque dans laquelle un attaquant convainc l'opérateur mobile de transférer le numéro d'une victime vers une carte SIM qu'il contrôle, pour intercepter les SMS et appels — notamment les codes MFA et les notifications bancaires.
Nature
Ingénierie sociale contre opérateur mobile
Cible
Contournement des MFA par SMS et appels
Secteurs les plus touchés
Banque, cryptomonnaies, comptes tech de valeur
Durée moyenne d'une attaque
15 minutes à 2 heures
Défense principale
Ne pas utiliser la MFA par SMS, privilégier FIDO2

01 — DéfinitionQu'est-ce que le SIM swap ?

Le SIM swap est une attaque dans laquelle un attaquant convainc un opérateur mobile de transférer un numéro de téléphone vers une nouvelle carte SIM qu'il contrôle. À partir de ce moment, toutes les communications entrantes (appels, SMS) destinées au numéro arrivent sur l'appareil de l'attaquant, et la victime perd complètement son service mobile.

Ce détournement donne un accès redoutable : la plupart des services utilisent encore le SMS comme méthode d'authentification à deux facteurs ou de réinitialisation de mot de passe. Un SIM swap réussi permet donc de contourner ces protections et de prendre le contrôle de :

  • Comptes bancaires en ligne et applications bancaires.
  • Wallets et plateformes de cryptomonnaies.
  • Services mail principaux (Gmail, Outlook, Yahoo) qui servent eux-mêmes de récupération pour d'autres comptes.
  • Comptes de réseaux sociaux à forte valeur.
  • Applications de paiement (PayPal, Revolut, Lydia, apps bancaires).

L'attaque n'exploite pas une faille technique du réseau mobile, mais les processus humains des opérateurs : service client, boutique, interface en ligne. C'est une forme pure d'ingénierie sociale ciblant les employés d'opérateur ou leurs systèmes de vérification d'identité.

La MFA par SMS a été adoptée massivement dans les années 2010. Elle est devenue l'un des points faibles majeurs de la sécurité en ligne à mesure que le SIM swap s'est industrialisé.

02 — MécaniqueLe déroulement d'une attaque

Phase 1 — Reconnaissance OSINT

L'attaquant identifie sa cible et collecte un maximum d'informations personnelles via OSINT : nom complet, date de naissance, adresse, numéro de téléphone, réponses à des questions de sécurité plausibles (noms de parents, lieux de naissance, marque de première voiture), parfois numéro de pièce d'identité via une fuite de données. Les fuites sur les forums cybercriminels agrègent ces données à grande échelle.

Phase 2 — Ingénierie sociale sur l'opérateur

L'attaquant contacte l'opérateur en se faisant passer pour la victime. Plusieurs approches :

  • Appel au service client : prétexte « j'ai perdu mon téléphone / ma SIM ne marche plus, il me faut une nouvelle carte ». L'attaquant fournit les informations personnelles collectées pour passer la vérification d'identité.
  • Visite en boutique : présentation d'une fausse pièce d'identité, parfois obtenue avec une photo de la vraie pièce d'identité de la victime (acheté sur un marché noir). Taux de succès étonnamment élevé selon la formation du conseiller.
  • Compromission d'un employé : l'attaquant paye ou fait chanter un salarié d'opérateur pour qu'il procède au swap. Cas documenté à grande échelle dans plusieurs affaires T-Mobile et AT&T aux États-Unis.
  • Exploitation d'interfaces en ligne : certains opérateurs permettent le changement de SIM via leur espace client, avec des contrôles parfois insuffisants.

Phase 3 — Bascule technique

Une fois la demande validée, l'opérateur désactive la SIM d'origine et active une nouvelle SIM contrôlée par l'attaquant. La bascule technique prend quelques minutes. La victime perd son réseau mobile instantanément — signal principal qui peut alerter si elle est attentive.

Phase 4 — Exploitation rapide

L'attaquant a typiquement une fenêtre de 15 minutes à 2 heures avant que la victime ne comprenne et réagisse. Durant cette fenêtre, il exécute en parallèle plusieurs actions :

  1. Réinitialisation du mot de passe des comptes email principaux via le SMS.
  2. Accès aux comptes bancaires et applications de paiement.
  3. Accès aux wallets crypto (particulièrement lucratif).
  4. Virements ou transferts de fonds immédiats.
  5. Détournement de comptes sociaux à forte valeur pour arnaque ou revente.
  6. Parfois, destruction de preuves (suppression de session, messages).

Phase 5 — Blanchiment

Les fonds détournés sont rapidement convertis ou transférés à travers plusieurs comptes et cryptomonnaies pour rendre la trace difficile à suivre. Les délais typiques de blanchiment crypto sont de quelques heures à quelques jours.

03 — CiblesQui est visé par le SIM swap

Détenteurs de cryptomonnaies

Cible numéro un historiquement. Les plateformes crypto historiques utilisaient la MFA par SMS, et les sommes en jeu justifient l'investissement. Depuis 2018, des dizaines de cas documentés avec des pertes allant de quelques dizaines de milliers à plusieurs millions de dollars par victime.

Dirigeants et personnalités publiques

Cibles attractives parce que leurs informations personnelles sont largement publiques (OSINT facile), leurs comptes sociaux ont de la valeur, et leurs comptes bancaires contiennent des soldes significatifs. Les journalistes d'investigation et activistes sont aussi visés par des acteurs étatiques.

Particuliers avec patrimoine visible

Personnes dont la richesse est médiatisée ou déductible (dirigeants d'ETI, professions libérales bien établies, célébrités). Le ROI pour l'attaquant justifie la phase OSINT.

Comptes professionnels à privilèges

Administrateurs de systèmes, détenteurs d'accès à des comptes de réseaux sociaux d'entreprise, gestionnaires de noms de domaine. Un swap peut permettre de détourner un nom de domaine, de publier depuis un compte officiel, ou d'accéder à des outils administratifs.

Cibles opportunistes

Campagnes industrialisées où l'attaquant tente des swaps sur des listes d'emails/numéros issus de fuites, sans reconnaissance approfondie. Moins ciblées, parfois moins lucratives, mais plus volumineuses.

04 — ExemplesCas documentés

Michael Terpin — 24 M$ (2018)

Cas fondateur. Michael Terpin, entrepreneur américain, se fait voler 24 millions de dollars en cryptomonnaies via un SIM swap réalisé chez AT&T. L'attaquant était un adolescent de 15 ans, arrêté et condamné. Terpin a obtenu une condamnation civile contre lui pour 75 millions de dollars, jamais recouvrés. Affaire emblématique qui a révélé la vulnérabilité du modèle américain.

Jack Dorsey — Twitter CEO (2019)

Le PDG de Twitter (et co-fondateur) se fait détourner son propre compte Twitter via SIM swap, avec publication de messages racistes et offensants depuis son compte officiel. L'incident a accéléré la réforme des politiques de sécurité chez Twitter et plusieurs opérateurs américains.

Affaire T-Mobile — employés complices (2021-2023)

Plusieurs affaires ont démontré qu'un marché noir d'employés complices existait dans les grands opérateurs américains. T-Mobile en particulier a fait face à plusieurs incidents avec des salariés payés quelques milliers de dollars par swap effectué à la demande d'attaquants externes. Plusieurs licenciements et condamnations pénales.

Cas FR documentés (2023-2024)

Plusieurs affaires françaises jugées ces dernières années démontrent l'implantation du phénomène en France. Modus operandi récurrent : présentation en boutique d'opérateur avec fausse pièce d'identité, vol immédiat de comptes bancaires et crypto. Les opérateurs ont renforcé leurs contrôles à la suite de sanctions ARCEP, mais des cas continuent d'être signalés.

05 — SignauxReconnaître une attaque en cours

Signal principal — perte de réseau

Perte brutale du service mobile sans raison technique : « Pas de service » ou « SIM non valide » affiché en permanence, impossibilité d'émettre ou recevoir des appels et SMS. Critère distinctif : cette perte est instantanée et totale, alors que votre entourage proche a un bon réseau au même endroit. Les pertes classiques (antenne saturée, zone blanche, panne opérateur) sont progressives ou partielles.

Signaux connexes

  • Notifications par email de connexion à des comptes depuis des appareils inconnus.
  • Notifications de changement de mot de passe non initiés par vous.
  • Notifications bancaires de virement ou achat non reconnus.
  • SMS de confirmation d'une opération opérateur que vous n'avez pas demandée (si vous êtes encore temporairement connecté via Wi-Fi).
  • Messages de vos proches disant qu'ils reçoivent des messages étranges de votre numéro.

Pré-signaux OSINT

Parfois, des signaux plus faibles peuvent précéder l'attaque :

  • Appels de prospection suspects cherchant à récolter des informations personnelles.
  • Tentatives de phishing ciblées visant votre opérateur ou votre banque.
  • Alerte Have I Been Pwned pour une nouvelle fuite incluant vos données.
  • Demandes de renseignements anormales sur les réseaux sociaux (enquêteur, journaliste, ancien contact).

06 — ProtectionComment se protéger

Priorité absolue — abandonner la MFA par SMS
  • Remplacer la MFA par SMS partout où c'est possible par une application TOTP (Google Authenticator, Authy, 1Password, Microsoft Authenticator).
  • Mieux encore : passer à une passkey ou une clé FIDO2 matérielle pour les comptes critiques.
  • Pour les comptes qui ne supportent rien d'autre, tolérer SMS mais activer toutes les autres protections en plus.
  • Ne jamais utiliser le numéro mobile comme seule méthode de récupération sur les comptes sensibles.
Protections opérateur
  • Activer un code PIN ou mot de passe obligatoire chez le service client de votre opérateur (option disponible chez Orange, SFR, Bouygues, Free — vérifier l'espace client).
  • Activer le « verrou SIM » si votre opérateur le propose : blocage de tout changement de SIM sans procédure renforcée.
  • Demander la traçabilité des accès à votre ligne (certains opérateurs peuvent fournir cet historique).
  • Pour les profils très exposés : envisager un numéro dédié chez un opérateur plus sécurisé (MVNO spécialisé sécurité, numéro eSIM secondaire peu connu).
Réduction de l'empreinte
  • Limiter la visibilité publique de votre numéro mobile (signatures email, réseaux sociaux, CV en ligne).
  • Utiliser un numéro secondaire virtuel (Google Voice, OnOff, Hushed) pour les services non critiques.
  • Vérifier régulièrement vos fuites sur Have I Been Pwned et changer les mots de passe associés.
  • Éviter de répondre à des questions de sécurité avec des réponses publiquement connues (nom de jeune fille de votre mère, date de naissance, ville natale).
Surveillance active
  • Alertes bancaires actives sur toute opération, avec notifications par plusieurs canaux.
  • Notifications de connexion activées sur tous les comptes importants.
  • Vigilance aux pertes soudaines de réseau mobile — réagir en quelques minutes est crucial.
  • Pour les détenteurs crypto : utiliser un wallet matériel (Ledger, Trezor) plutôt que stocker sur une plateforme d'échange.
Protection professionnelle dédiée
  • Pour les dirigeants, profession libérales, détenteurs de patrimoine visible : audit complet de l'exposition numérique et du modèle MFA.
  • Services spécialisés de réduction d'empreinte OSINT (Recon, Privazy, DeleteMe) pour diminuer les données publiques accessibles aux attaquants.
  • Formation spécifique sur les scénarios SIM swap dans le cadre de la sensibilisation cyber.
  • Plan de réaction pré-écrit en cas d'attaque : numéros opérateur, banque, service antifraude à portée.

07 — CriseRéagir à une attaque en cours

Chaque minute compte. Voici l'ordre des actions à enchaîner sans hésiter en cas de perte soudaine et inexpliquée de réseau mobile.

  1. Contacter immédiatement l'opérateur depuis un autre téléphone ou via Wi-Fi calling. Signaler la situation et demander le blocage immédiat de la ligne. Tous les opérateurs disposent d'un numéro dédié antifraude disponible 24/7.
  2. Se connecter aux comptes sensibles depuis un appareil de confiance : banque, wallet crypto, email principal, comptes sociaux à forte valeur. Dans cet ordre.
  3. Changer les mots de passe et révoquer toutes les sessions actives. Désactiver l'option de récupération par SMS là où elle est activée.
  4. Appeler la banque pour demander un blocage préventif ou un monitoring renforcé. Les banques ont des procédures anti-SIM-swap, signaler l'attaque déclenche souvent une surveillance immédiate.
  5. Vérifier les emails reçus et envoyés durant la fenêtre d'attaque : identifier les actions que l'attaquant a déjà réalisées pour les annuler ou signaler.
  6. Déposer plainte au commissariat ou en ligne via Thésée. Indispensable pour activer les procédures de remboursement bancaire et les éventuelles actions juridiques.
  7. Documenter chronologiquement ce qui s'est passé avec dates et heures précises. Utile pour l'enquête et pour prouver votre bonne foi auprès des banques et assureurs.
  8. Activer le cyber-assureur si vous êtes couvert à titre professionnel, certaines polices couvrent les dommages liés aux SIM swap.

08 — FAQQuestions fréquentes

Suis-je indemnisé en cas de vol via SIM swap ?

Dépend des circonstances et du pays. En France, les banques doivent rembourser les opérations non autorisées selon l'article L. 133-18 du Code monétaire et financier, sauf en cas de négligence grave du client. La qualification de la négligence est souvent l'enjeu : avoir utilisé SMS comme MFA peut parfois être invoqué contre vous, bien que cela soit juridiquement contestable. Les opérateurs peuvent aussi être tenus pour responsables en cas de défaut de vigilance. Pour les cryptomonnaies, l'indemnisation est beaucoup plus rare car le cadre juridique est moins protecteur.

Les eSIM sont-elles plus sûres ?

Pas significativement. Les eSIM simplifient le provisioning et peuvent théoriquement être plus sécurisées (validation d'appareil, sans manipulation physique), mais les attaques par ingénierie sociale fonctionnent toujours contre l'opérateur humain. En pratique, le risque SIM swap reste comparable entre SIM physique et eSIM.

Le 5G protège-t-il contre le SIM swap ?

Non. La technologie de réseau mobile ne change rien à la problématique : l'attaque exploite le processus administratif de l'opérateur, pas les protocoles radio. La 5G apporte des améliorations de sécurité sur d'autres aspects (chiffrement, pseudonymisation IMSI) mais pas contre le SIM swap.

Quelle différence entre SIM swap et SIM cloning ?

Le SIM cloning est une attaque plus ancienne et désormais largement impraticable : cloner physiquement une carte SIM pour qu'elle réponde au même identifiant. Les SIM modernes (toutes les SIM livrées depuis environ 2005) intègrent des éléments cryptographiques qui rendent le cloning impossible sans accès aux clés opérateur. Le SIM swap est l'approche moderne : ne pas cloner la carte, la remplacer via l'opérateur.

Les opérateurs sont-ils obligés d'agir ?

De plus en plus. La réglementation européenne et française tend à imposer des obligations renforcées de vérification d'identité. L'ARCEP a sanctionné plusieurs opérateurs pour défaut de vigilance. Aux États-Unis, la FCC a imposé en 2023 des règles strictes sur les procédures de changement de SIM. La tendance est clairement à la responsabilisation croissante des opérateurs.