SIM swap : 4 heures pour devenir vous

Mardi, 14h07. L’appel arrive au service client d’un opérateur français. Voix calme, légèrement agacée : « J’ai perdu mon téléphone à Roissy ce matin, il me faut une nouvelle SIM avant mon vol de 18h. » Nom, date de naissance, adresse — récités sans hésiter. Le conseiller, sous pression de son temps de traitement, valide. À 14h22, le numéro bascule. À 16h40, le compte professionnel de la cible — un directeur financier que j’accompagnais — était vidé de 47 000 €. La cible dormait sur ses deux oreilles : elle pensait que « ça n’arrive qu’aux gens connus ».

Le piège habituel

« Ça n’arrive qu’aux célébrités et aux crypto-bros. » C’est l’idée reçue numéro un sur le SIM swapAttaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM.Voir le lexique, et elle est fausse sur deux plans simultanément. Le profil des victimes, d’abord : oui, les cas médiatisés concernent des influenceurs crypto et quelques personnalités, parce que les montants sont spectaculaires et que les procès font les gros titres. Mais les dossiers qui atterrissent sur mon bureau ne ressemblent pas à ça. Ce sont des chefs d’entreprise de PME, des directeurs financiers, des avocats d’affaires, des notaires, des associés de cabinets. Le point commun n’est jamais la notoriété — c’est l’existence d’au moins un compte sensible (banque, messagerie professionnelle, espace de signature électronique) protégé par un code reçu par SMS.

La sophistication requise, ensuite. On imagine un attaquant qui pirate le réseau de l’opérateur, casse du chiffrement, exploite une faille. Rien de tout ça. Le SIM swap n’est pas une attaque technique : c’est de l’ingénierie socialeManipulation humaine pour obtenir des informations ou des actions, contournant les défenses techniques.Voir le lexique. Il faut un téléphone, trois informations qui sont publiques pour 90 % de la population active, et la capacité à mentir avec aplomb pendant quatre minutes. La barre à l’entrée est tellement basse qu’elle explique l’industrialisation du phénomène : le FBI a recensé via son centre IC3 plus de 2 000 plaintes en 2021 pour un préjudice déclaré supérieur à 68 millions de dollars, en hausse de plusieurs centaines de pour cent par rapport aux trois années précédentes cumulées.

Le second piège, plus pernicieux, c’est la fausse parade. « J’ai activé la double authentification, je suis tranquille. » Sauf que si ce second facteur est un code SMS, vous n’avez pas ajouté une serrure : vous avez délégué la clé de tous vos comptes à un conseiller en centre d’appel payé au temps de traitement, que vous n’avez jamais rencontré, et qui peut transférer votre numéro à un inconnu en moins de cinq minutes. Le NISTInstitut américain qui publie les standards de référence en cybersécurité (CSF, SP 800-*).Voir le lexique l’a écrit noir sur blanc dès 2017, en classant le SMS comme facteur « déconseillé » (restricted) dans sa publication SP 800-63B. Neuf ans plus tard, c’est encore le facteur par défaut de la majorité des banques françaises.

Le modèle de menace réel : la mécanique, heure par heure

Comprendre la chronologie d’une attaque change la façon dont on la combat. Le SIM swap n’est pas un événement instantané, c’est une cascade qui s’étale sur deux à quatre heures, et chaque maillon dépend du précédent. Casser un seul maillon suffit à faire échouer toute la chaîne.

Ce que l’attaquant doit savoir avant d’appeler. Nom complet, date de naissance, adresse postale. Dans l’écrasante majorité des cas, ces trois données sont accessibles gratuitement : LinkedIn donne le nom et l’employeur, les anniversaires traînent sur Facebook et Instagram, les annuaires inversés et les listes électorales agrégées fournissent l’adresse. Une heure de recherche OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives.Voir le lexique méthodique suffit pour constituer le dossier d’une cible identifiée. Pour les opérateurs qui exigent un identifiant supplémentaire — numéro client, derniers chiffres d’un moyen de paiement — l’attaquant pioche dans les bases de fuites revendues quelques euros, ou il reconstruit l’info à partir d’un faux SMS de phishing envoyé la veille (« Votre facture est disponible, confirmez votre numéro client »).

T+0 — L’appel ou la visite en boutique. Le canal classique est le service client téléphonique. Le prétexte est toujours le même : téléphone perdu ou volé, écran cassé, voyage imminent. Le ton est pressé mais courtois, jamais agressif — l’agressivité déclenche les procédures de vérification renforcée. Variante de plus en plus fréquente : la boutique physique, où l’attaquant présente un faux justificatif d’identité. Le vendeur en boutique a encore moins de garde-fous que le centre d’appel.

T+15 min — Le basculement (le port-out). Si le conseiller est convaincu, il déclenche soit une réémission de SIM interne, soit un port-out — le transfert du numéro vers un autre opérateur, procédure légalement encadrée pour favoriser la concurrence, et donc rapide par conception. Votre téléphone perd le réseau. La nouvelle SIM, entre les mains de l’attaquant, commence à recevoir vos appels et vos SMS. Vous, vous croyez à une panne d’antenne.

T+30 min — La prise de l’email. L’attaquant lance un « mot de passe oublié » sur votre messagerie principale. Le code de réinitialisation arrive par SMS… sur sa SIM. Il définit un nouveau mot de passe. Votre boîte mail, qui est la clé maîtresse de toute votre vie numérique, lui appartient.

T+45 min — La cascade. Depuis votre email, il enchaîne les réinitialisations sur la banque, le gestionnaire de mots de passe, les réseaux sociaux professionnels, les espaces de signature électronique. Les banques qui confirment les virements par SMS ? Il intercepte chaque code. Le MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter.Voir le lexique par SMS, censé protéger, devient l’accélérateur de la compromission.

T+2h à T+4h — L’extraction. Virements, vidage de portefeuilles crypto le cas échéant, exfiltration de documents confidentiels depuis l’email et le cloud, et — pour les cibles à forte valeur — revente de l’accès à un acteur spécialisé qui exploitera le reste. À ce stade, la victime moyenne n’a toujours pas compris qu’elle était attaquée.

Deux signaux faibles permettent de raccourcir cette fenêtre, à condition de les avoir intégrés à l’avance. Le premier : une perte de réseau qui dure plus de quinze minutes alors que les autres lignes autour de vous fonctionnent. Une vraie panne d’antenne touche tout le monde dans la zone ; un SIM swap ne coupe que votre ligne. Si votre conjoint capte et pas vous, traitez-le comme un incident jusqu’à preuve du contraire. Le second : un mail ou une notification « votre mot de passe a été modifié » que vous n’avez pas déclenchée. C’est souvent le seul artefact visible côté victime, et il arrive sur une boîte secondaire ou une appli encore connectée. Quiconque attend de « voir si ça revient » offre à l’attaquant la totalité de la fenêtre d’extraction.

Une nuance technique qui compte sur les réseaux récents : le SMS classique n’est pas le seul canal vulnérable. Le RCSRegistre public français des sociétés, accessible via Pappers et Infogreffe.Voir le lexique, qui remplace progressivement le SMS sur Android, reste lié à la même ligne et bascule donc avec le numéro lors d’un port-out. Et au-delà du SIM swap proprement dit, le réseau de signalisation SS7 qui achemine les SMS au niveau mondial présente des failles connues depuis les années 2000 : un acteur disposant d’un accès opérateur peut intercepter des SMS sans toucher à votre SIM. Autrement dit, même un port-out PIN parfaitement configuré ne sécurise pas le canal SMS lui-même — raison de plus pour le retirer de vos comptes critiques plutôt que de chercher à le blinder.

Pourquoi les opérateurs sont le maillon faible

L’étude de Princeton publiée en 2020 a testé en conditions réelles les procédures d’authentification de cinq grands opérateurs américains. Le résultat est accablant : avec des techniques d’ingénierie sociale élémentaires, les chercheurs ont obtenu un basculement de SIM dans une majorité des tentatives, certains opérateurs cédant dans la quasi-totalité des cas. Les opérateurs européens n’ont pas fait l’objet d’une étude publique équivalente, mais les retours terrain en France ne sont pas meilleurs : les centres d’appel externalisés, avec des centaines de conseillers évalués sur leur temps de traitement, créent une pression structurelle inverse à la vérification rigoureuse.

Le vrai point faible n’est jamais la procédure écrite — elle est généralement correcte sur le papier. C’est l’humain en bout de ligne, face à quelqu’un qui simule la détresse parce qu’il « doit joindre ses enfants en urgence » ou « risque de rater un vol ». Aucun script ne résiste à la pression émotionnelle bien jouée, surtout quand le conseiller sait qu’un appel trop long pénalise ses indicateurs.

S’ajoute le facteur insider, sous-estimé et pourtant documenté dans une part significative des dossiers judiciaires : un employé de l’opérateur corrompu ou contraint réalise le basculement directement depuis les systèmes internes. Là, aucune vérification côté client n’a la moindre prise — l’insider a déjà toutes les permissions. C’est la voie privilégiée pour les cibles à très forte valeur, où l’attaquant a un budget pour acheter une complicité ponctuelle. Aucune mesure que vous prenez sur votre compte ne neutralise ce vecteur. C’est précisément pour ça que la défense ne peut pas reposer sur la sécurisation de l’opérateur.

Aux États-Unis, la situation a été suffisamment grave pour que la FCC adopte en 2023 des règles contraignantes imposant une authentification renforcée avant tout changement de SIM ou port-out. AT&T, Verizon et T-Mobile avaient été cités dans des dizaines de procédures, et T-Mobile a subi plusieurs fuites massives exposant précisément les données nécessaires à un SIM swap. En Europe, le cadre reste plus laxiste, en partie parce que la portabilité du numéro — un droit du consommateur — est conçue pour être rapide, ce qui joue mécaniquement contre la sécurité.

La bonne approche : rendre votre numéro inutile

Voici la bascule mentale qui change tout : ne cherchez pas d’abord à sécuriser votre opérateur — faites en sorte que compromettre votre numéro ne serve à rien. C’est contre-intuitif, parce que l’instinct pousse à blinder le maillon faible. Mais le maillon faible, ici, ne vous appartient pas : il est entre les mains de conseillers et d’insiders sur lesquels vous n’avez aucun contrôle. La seule variable que vous maîtrisez vraiment, c’est ce qui se passe après le basculement.

Si votre messagerie principale, votre banque et votre gestionnaire de mots de passe n’utilisent ni le SMS comme second facteur, ni le SMS comme canal de récupération, alors un SIM swap réussi donne à l’attaquant… votre numéro de téléphone. Utile pour de l’usurpation, gênant, mais pas catastrophique : il n’ouvre plus aucune porte. La cascade décrite plus haut s’arrête net au maillon T+30. C’est tout l’enjeu.

Étape 1 — Migrer hors du SMS, par ordre de criticité. Email principal en premier : c’est la racine. Puis la banque, le gestionnaire de mots de passe, le cloud, les réseaux professionnels. La cible : TOTPCode à 6 chiffres généré toutes les 30 secondes par une app (Google Authenticator, Authy, etc.).Voir le lexique stocké localement (Aegis sur Android, Ente Auth multi-plateforme) pour les comptes courants, et FIDO2Standard d'authentification forte par clé cryptographique matérielle, résistante au phishing.Voir le lexique matériel (YubiKey, Nitrokey) pour les comptes les plus critiques. Le FIDO2 a un avantage structurel : il résiste nativement au phishing, parce que la clé vérifie cryptographiquement le domaine. Un attaquant qui a votre numéro et votre mot de passe ne peut toujours rien faire sans la clé physique.

Étape 2 — Poser un port-out PIN chez votre opérateur. Les quatre opérateurs français (Orange, SFR, Bouygues, Free) proposent tous un code de sécurité ou un mot de passe sur le compte, censé être exigé pour toute manipulation sensible, dont les changements de SIM et les port-out. C’est mal documenté, souvent enfoui dans les paramètres de compte, mais ça existe. Ce n’est pas une protection suffisante — un PIN se contourne via la boutique physique, la procédure d’urgence « PIN oublié », ou un insider — mais c’est une friction supplémentaire qui élimine l’attaquant opportuniste. Choisissez un code non devinable (jamais votre date de naissance ni les derniers chiffres de votre numéro), stockez-le dans votre gestionnaire de mots de passe, et ne le considérez jamais comme votre ligne de défense principale.

Étape 3 — Réduire l’exposition de votre numéro. Chaque endroit où votre numéro apparaît est un point de pivot pour l’OSINT : signatures email, profil LinkedIn, annonces sur Le Bon Coin, formulaires de covoiturage. Pour les profils à risque élevé, la mesure radicale est un numéro dédié, non public, connu uniquement de vos services critiques — une eSIM secondaire suffit. L’attaque cible le numéro qu’il connaît ; si vos comptes sensibles sont liés à un numéro qu’il ignore, la surface s’effondre.

Un mot sur l’eSIM, souvent présentée comme la solution miracle : elle ne l’est pas. L’eSIMCarte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs.Voir le lexique élimine le clonage physique d’une carte et ajoute une légère friction au transfert vers un nouveau terminal. Mais le vecteur principal — l’ingénierie sociale auprès du service client pour déclencher un port-out — fonctionne exactement de la même façon sur une ligne eSIM. C’est une amélioration marginale, pas une parade.

Étape 4 — Écrire le plan de réponse, avant d’en avoir besoin. La défense ne s’arrête pas à la prévention : un SIM swap réussi se gère, et l’ordre des actions détermine l’ampleur des dégâts. Le plan tient sur une page, et il doit être consultable depuis un appareil autre que le téléphone potentiellement compromis. Quand vous perdez le réseau et que vous suspectez l’attaque, l’enchaînement est le suivant. D’abord, appeler l’opérateur depuis une autre ligne (fixe, téléphone d’un proche, ligne professionnelle) pour exiger le blocage immédiat du numéro et l’annulation du port-out. Ensuite, changer les mots de passe des comptes critiques depuis un appareil sain, en commençant par la messagerie principale — la racine. Puis vérifier l’activité récente sur la banque et l’email pour relever ce qui a été fait pendant la fenêtre. Notifier explicitement la banque de la compromission du numéro associé au compte, ce qui engage sa responsabilité sur les opérations frauduleuses. Déposer plainte, utile pour l’assurance et pour tout litige bancaire ultérieur. Enfin, ne pas réutiliser le numéro compromis pour du MFA tant que la migration vers TOTP ou FIDO2 n’est pas faite. Un point de vigilance : tant que l’opérateur n’a pas confirmé que vous avez repris le contrôle de la ligne, considérez que chaque action menée depuis le téléphone ou via le numéro peut être observée par l’attaquant.

Ce plan paraît évident lu à froid. Il ne l’est plus à 3h du matin, en panique, sans réseau, en cherchant le numéro de son opérateur sur un appareil tiers. C’est précisément pour ça qu’il s’écrit à l’avance et se range là où il sera retrouvé sans le téléphone — un document chiffré dans le gestionnaire de mots de passe accessible sur un autre appareil, ou une fiche papier dans un endroit connu.

Ce que ça implique concrètement

Erreurs qu’on voit tout le temps

• Garder le SMS sur la messagerie principale. C’est la combinaison fatale : votre email est la racine de toutes les réinitialisations, le protéger par SMS revient à fermer un coffre-fort avec un cadenas de vélo.
• Croire qu’un port-out PIN suffit. Il complique la vie de l’attaquant opportuniste, il ne protège ni de la boutique physique, ni de la procédure « PIN oublié », ni de l’insider. C’est une couche, pas un rempart.
• Confondre l’eSIM avec une protection. Elle empêche le clonage physique mais laisse intact le vecteur d’ingénierie sociale, qui est le vrai problème.
• Ne pas avoir de plan d’incident accessible sans le téléphone. Quand vous perdez le réseau à 3h du matin, vous ne voulez pas chercher le numéro de votre opérateur. Le plan doit être écrit et consultable depuis un autre appareil.
• Laisser son numéro traîner partout. Signature email, LinkedIn, petites annonces : chaque occurrence est un point de départ pour l’OSINT qui alimente l’attaque.
• Migrer sans valider. Désactiver le SMS avant d’avoir confirmé que le TOTP ou la clé FIDO2 fonctionnent, et se retrouver enfermé dehors.

Checklist actionnable

• N1 Identifier tous les comptes critiques utilisant le SMS comme MFA ou comme canal de récupération
• N1 Supprimer le SMS de l'email principal : activer TOTP local puis désactiver le SMS de secours
• N1 Poser un port-out PIN / mot de passe de compte chez son opérateur mobile
• N2 Migrer la banque et le gestionnaire de mots de passe vers TOTP local (Aegis, Ente Auth)
• N2 Retirer son numéro de téléphone des profils publics (LinkedIn, signature email, annonces)
• N2 Documenter un plan d'incident SIM swap : qui appeler, dans quel ordre bloquer, accessible sans le téléphone
• N3 Déployer deux clés FIDO2 sur l'email principal et le password manager (une primaire, une backup séparée)
• N3 Ouvrir un numéro dédié non public (eSIM secondaire) réservé aux comptes critiques
• N3 Pour une organisation : auditer le taux de comptes sensibles encore en SMS et viser 0 % sur les accès critiques

Pour aller plus loin

La référence à citer en interne pour justifier une migration est le NIST SP 800-63B, qui déconseille le SMS comme facteur d’authentification depuis 2017 — un point d’appui réglementaire solide. L’étude de Princeton (2020) documente expérimentalement la défaillance des procédures opérateurs, et l’alerte IC3 du FBI (2022) chiffre l’explosion du phénomène. Côté terrain, la série SIM swap de Krebs on Security suit les dossiers réels et les arrestations depuis des années. Toutes ces sources figurent dans le frontmatter de cet article.

Pour la suite logique, voir MFA : pourquoi votre app Google Authenticator vous trahit sur la hiérarchie réelle des facteurs, et OSINT défensif pour réduire l’empreinte publique qui alimente ces attaques.