SIM swap : 4 heures pour devenir vous

L’attaquant a appelé Orange un mardi à 14h. Il a donné le nom, la date de naissance, et l’adresse de la cible — toutes informations publiques. Il a expliqué qu’il avait perdu son téléphone à l’aéroport. Le conseiller a basculé le numéro sur une nouvelle SIM en quinze minutes. À 16h30, le compte bancaire était vidé.

Le piège habituel

“Ça n’arrive qu’aux célébrités et aux crypto-bros.” C’est l’idée reçue numéro un sur le SIM swap, et c’est faux à deux niveaux.

D’abord sur le profil des victimes : oui, les cas médiatisés concernent souvent des célébrités ou des personnes avec d’importants portefeuilles crypto — parce que les gains sont spectaculaires et que les cas finissent en justice. Mais la réalité des dossiers que je vois : chefs d’entreprise, directeurs financiers, avocats d’affaires, notaires. Toute personne avec un accès SMS MFA sur un compte bancaire ou un email professionnel est une cible potentielle.

Ensuite sur la sophistication requise : le SIM swap n’est pas une attaque technique. C’est de l’ingénierie sociale. Il faut un téléphone, trois informations publiques sur la cible, et la capacité à mentir de façon convaincante. La barre est basse.

La mécanique en détail

Ce que l’attaquant a besoin de savoir

Nom complet, date de naissance, adresse postale. Dans 90 % des cas, ces trois données sont publiques ou facilement accessibles — LinkedIn pour le nom et l’employeur, registres officiels pour l’adresse, réseaux sociaux pour les anniversaires. Une heure de recherche OSINT suffit généralement.

Pour les opérateurs qui demandent un identifiant supplémentaire, l’attaquant peut avoir besoin des quatre derniers chiffres de votre numéro de sécurité sociale (facilement achetable sur le dark web pour quelques euros depuis l’un des nombreux breaches de données médicales) ou de votre numéro client. Ce numéro client figure souvent sur des documents que vous avez reçus par email ou que vous avez partagés sans y penser.

Le scénario type, heure par heure

T+0 : L’appel. L’attaquant appelle le service client de votre opérateur. Prétexte classique : perte ou vol de téléphone, déménagement nécessitant une nouvelle SIM, problème technique. Le ton est pressé mais poli. Le script est rodé.

T+15 min : Le basculement. Si le conseiller est convaincu, il initie un transfert de numéro (port-out) ou une réaffectation de SIM interne. Votre téléphone perd le signal. La nouvelle SIM de l’attaquant commence à recevoir vos appels et SMS.

T+30 min : La prise de contrôle de l’email. L’attaquant clique sur “mot de passe oublié” sur votre service email principal. Le SMS de réinitialisation arrive sur sa SIM. Nouveau mot de passe, accès immédiat.

T+45 min : La cascade. Depuis votre email, il déclenche des réinitialisations sur tous vos comptes importants. Banque, gestionnaire de mots de passe, réseaux sociaux professionnels. Certaines banques envoient des confirmations d’opération par SMS — l’attaquant les intercepte toutes.

T+2h à 4h : Extraction. Virements bancaires, accès aux crypto-wallets si applicable, exfiltration de données sensibles depuis l’email et le cloud. Revente d’accès à d’autres acteurs si la cible est intéressante mais hors scope direct.

Points d’entrée par opérateur

Opérateurs français

Les quatre opérateurs français (Orange, SFR, Bouygues, Free) ont tous des procédures d’authentification pour les manipulations de SIM. En théorie. En pratique, les centres d’appel externalisés avec des centaines de conseillers et des KPIs de temps de traitement créent une pression inverse sur la vérification.

L’étude Princeton (2020), portant sur les opérateurs américains, montre des taux de succès d’attaque de 39 à 100 % selon l’opérateur avec des méthodes d’ingénierie sociale simples. Les opérateurs français n’ont pas fait l’objet de la même étude publiée, mais les retours d’expérience terrain sont similaires.

Le vrai point faible n’est pas la procédure écrite — c’est le conseiller qui a face à lui quelqu’un qui “pleure” parce qu’il a perdu son téléphone et a besoin de rappeler ses enfants en urgence.

Le facteur insider

Environ 15 % des SIM swaps documentés impliquent un employé de l’opérateur corrompu ou contraint. C’est particulièrement vrai pour les cibles de valeur : un attaquant motivé peut payer un insider pour effectuer le basculement directement depuis les systèmes internes, sans avoir à convaincre quiconque. Les insiders ont accès aux systèmes avec les permissions nécessaires — et ils contournent toutes les vérifications côté client.

Opérateurs américains

La situation historique aux États-Unis est plus mauvaise encore. AT&T, Verizon, T-Mobile ont été cités dans des dizaines de procédures judiciaires liées à des SIM swaps. T-Mobile a été breachée plusieurs fois, avec des données d’abonnés (dont les informations nécessaires aux SIM swaps) exfiltrées et vendues. Le FBI a émis un avertissement public en 2022 signalant une explosion des plaintes liées au SIM swap.

La donnée nécessaire est publique

C’est le point que la plupart des gens ne réalisent pas : l’attaquant n’a pas besoin d’acheter vos données sur le dark web. Il peut souvent les trouver librement.

LinkedIn : nom complet, date d’anniversaire souvent visible dans le profil, employeur actuel et historique, parfois adresse professionnelle.

Registre électoral : en France, les listes électorales sont communicables sur demande aux personnes qui justifient d’un intérêt légitime — et des services en ligne agrègent ces données depuis des années.

Annuaires inversés : plusieurs services en ligne permettent de trouver une adresse depuis un nom, souvent sans frais.

Réseaux sociaux : les anniversaires, les photos géolocalisées (qui révèlent votre adresse de domicile si vous photographiez depuis chez vous), les mentions de numéro de téléphone dans des annonces de covoiturage ou de vente.

Petites annonces : une annonce sur Le Bon Coin avec votre prénom, votre numéro de téléphone, et parfois votre ville. Croisée avec LinkedIn, ça donne tout le profil.

eSIM comme atténuation partielle

L’eSIM (embedded SIM) est parfois présentée comme une solution au SIM swap. C’est une exagération.

L’eSIM élimine la possibilité de faire dupliquer physiquement une carte SIM, et complique légèrement le transfert vers un nouveau terminal. Mais le vecteur principal d’attaque — l’ingénierie sociale auprès du service client pour faire un port-out — fonctionne exactement de la même façon sur une ligne eSIM que sur une ligne SIM physique.

Ce que l’eSIM apporte : une légère friction supplémentaire pour l’attaquant, et la certitude que votre SIM ne peut pas être physiquement clonée. Ce qu’elle n’apporte pas : une protection contre un conseiller convaincu de faire le basculement.

Les PIN opérateur : utiles mais pas suffisants

Orange, SFR, Bouygues et Free permettent tous de poser un code PIN ou un mot de passe sur votre compte opérateur. Ce code est censé être demandé pour toute manipulation sensible — dont les changements de SIM.

Pourquoi le faire quand même : c’est une couche de friction supplémentaire. Un attaquant ordinaire qui ne connaît pas votre PIN opérateur devra soit le deviner (difficile si vous choisissez quelque chose de non-devinable), soit contourner la procédure — ce qui nécessite plus de sophistication ou un insider.

Pourquoi ce n’est pas suffisant :

• Les PIN opérateurs sont souvent contournables via d’autres points d’entrée (boutique physique avec faux document, procédure d’urgence si le PIN est “oublié”, canal professionnel B2B)
• Un PIN oublié mène souvent à une procédure de récupération par… SMS ou email — le cercle vicieux
• Les insiders n’ont pas besoin de votre PIN

La vraie protection

La vraie protection contre le SIM swap n’est pas de sécuriser votre opérateur — c’est de faire en sorte que compromettre votre numéro de téléphone ne serve à rien.

Si votre email principal, votre banque, et votre gestionnaire de mots de passe n’utilisent pas le SMS comme facteur de récupération ou d’authentification, un SIM swap réussi donne à l’attaquant… votre numéro de téléphone. Utile pour usurpation d’identité, mais pas pour un accès immédiat à vos comptes.

Migration prioritaire : email principal → FIDO2 hardware ou TOTP local. Banque → TOTP local ou FIDO2 si disponible. Gestionnaire de mots de passe → FIDO2 hardware.

Numéro dédié non-public pour les comptes critiques. Une approche utilisée par les profils à risque élevé : avoir un numéro de téléphone secondaire (eSIM, ou opérateur secondaire) connu uniquement de vos services critiques et de personne d’autre. Pas affiché sur LinkedIn, pas communiqué aux contacts, pas utilisé pour les appels courants. Le SIM swap cible votre numéro connu — si vos comptes critiques sont liés à un numéro inconnu, la surface d’attaque est réduite.

Secteurs les plus touchés

Crypto et actifs numériques : la plupart des cas médiatisés. Les gains potentiels sont immédiats et les transactions sont irréversibles. Attirent des attaquants très motivés.

M&A et conseil : peu médiatisé, mais réel. Accès à des informations confidentielles sur des transactions en cours vaut bien plus que le contenu d’un compte bancaire personnel.

Conflits familiaux et divorce : sous-estimé. Le SIM swap comme outil de surveillance ou de contrôle dans des situations de violence conjugale ou de conflit patrimonial.

Que faire si vous êtes attaqué

Vous n’avez plus de signal. Voici l’ordre des actions :

1. Appelez votre opérateur depuis un autre téléphone (fixe, téléphone d’un proche, votre téléphone professionnel) et demandez le blocage immédiat de votre numéro.
2. Depuis un autre appareil, changez les mots de passe de vos comptes critiques en commençant par l’email principal.
3. Vérifiez les activités récentes sur vos comptes bancaires et email — relevez les actions effectuées pendant la fenêtre de compromission.
4. Notifiez votre banque explicitement de la compromission du numéro associé à votre compte.
5. Déposez plainte — utile pour les assurances et pour le dossier en cas de litige bancaire.
6. Ne réutilisez pas le numéro compromis pour du MFA critique tant que vous n’avez pas fait la migration vers TOTP ou FIDO2.

Erreurs qu’on voit tout le temps

Garder SMS MFA sur le mail principal. C’est la combinaison fatale avec un SIM swap.

Croire qu’un PIN opérateur suffit. Il complique, il ne protège pas.

Pas de plan d’action documenté. Quand vous perdez le signal à 3h du matin, vous ne voulez pas devoir chercher le numéro de votre opérateur et réfléchir à l’ordre des actions. Ayez ce plan écrit et accessible depuis un autre appareil.

Numéro de téléphone trop visible. Sur LinkedIn, dans les signatures email, dans les annonces en ligne — chaque endroit où votre numéro apparaît est un point de pivot potentiel pour l’attaquant.

• N1 Identifier tous les comptes critiques utilisant le SMS comme MFA ou récupération
• N1 Supprimer le SMS MFA de l'email principal et de la banque
• N2 Poser un PIN de compte chez son opérateur mobile
• N2 Migrer les comptes critiques vers TOTP local (Aegis, Ente Auth)
• N2 Retirer son numéro de téléphone des profils publics (LinkedIn, signature email)
• N2 Documenter un plan d'action en cas de SIM swap (numéros à appeler, ordre des actions)
• N3 Mettre en place FIDO2 sur email principal et password manager
• N3 Ouvrir un numéro dédié non-public pour les comptes critiques
• N3 Stocker le plan d'action sur un appareil ou support accessible sans le téléphone principal