Comment ça marche
Le SIM swap (aussi appelé SIM jacking) est l'une des arnaques les plus silencieuses mais les plus dévastatrices. L'attaquant :
- Collecte tes infos (via fuites de données, phishing, réseaux sociaux) : nom, date de naissance, numéro, opérateur.
- Appelle ton opérateur en se faisant passer pour toi. "J'ai perdu ma SIM, je dois la transférer sur une nouvelle carte."
- L'opérateur, mal formé, active la nouvelle SIM à l'attaquant. Ta ligne est maintenant chez lui.
- Tous les SMS 2FA (banque, Instagram, email, crypto) arrivent chez l'attaquant. Il réinitialise les mots de passe et vide les comptes.
Comment reconnaître une attaque en cours
- Ton téléphone perd brutalement le réseau (pas de "Aucun service")
- Tu reçois un SMS "Votre SIM a été désactivée" ou "Transfert SIM confirmé"
- Des tentatives de connexion inhabituelles sur tes comptes email
- Des notifications bancaires que tu ne reconnais pas
Si tu observes ça : appelle ton opérateur immédiatement depuis un autre téléphone. Et bloque tes comptes bancaires.
Les 4 protections qui fonctionnent
1. Mot de passe / code PIN sur ton compte opérateur
La plupart des opérateurs permettent d'ajouter un code PIN ou mot de passe pour tout changement SIM. C'est la protection #1. Appelle ton opérateur et demande :
- Orange : "Code secret SIM" — à demander au service client
- SFR : "Mot de passe d'identification" dans ton espace client
- Bouygues : "Code confidentiel SIM"
- Free : Code RIO lié, authentification renforcée dans l'espace abonné
2. Remplacer le 2FA SMS par une app TOTP
Le SMS est le maillon faible. Remplace par Google Authenticator, Authy, ou 1Password. Sur tous les comptes critiques :
- Email (Gmail, Outlook, etc.)
- Banques (toutes)
- Wallets crypto
- Réseaux sociaux avec abonnés publics
Si ton service n'offre que du 2FA SMS — considère changer de service. C'est un signal rouge.
3. Clé de sécurité physique (YubiKey, Solokey)
Pour ton compte Google / Apple et les banques qui le permettent. Une clé physique ne peut pas être interceptée à distance. C'est le gold standard.
4. Numéro dédié pour le 2FA
Certains utilisent un numéro Google Voice / Skype / Free second SIM pour recevoir les 2FA SMS, gardé séparé de la ligne principale. Si ta ligne principale est compromise, ce numéro survit. Solution avancée mais efficace.
Que faire après une attaque réussie
- Appelle ton opérateur depuis un autre téléphone — bloque immédiatement
- Change tous les mots de passe critiques (commence par l'email)
- Contacte tes banques, bloque les cartes, signale les transactions suspectes
- Dépose plainte en gendarmerie / police (indispensable pour les remboursements)
- Surveille tes comptes 30 jours (attaquants reviennent souvent)