SIM swap : le piratage de carte SIM qui vide les comptes en banque

Le SIM swap — ou « échange de SIM frauduleux » — est probablement l’arnaque la plus sous-évaluée de France. Discrète (la victime ne s’en aperçoit souvent qu’après les dégâts), techniquement sophistiquée (elle exploite les processus des opérateurs télécoms), et redoutablement efficace pour contourner la double authentification par SMS. En 2025, l’usurpation de numéros de téléphone a explosé de +517 % selon les chiffres officiels de Cybermalveillance.gouv.fr.

Cet article explique le mécanisme exact, ce qu’il permet à l’attaquant, comment vous en protéger préventivement chez votre opérateur, et que faire si c’est en cours.

Le mécanisme du SIM swap

Le scénario type, en quatre actes :

Acte 1 — Reconnaissance. L’attaquant a récupéré, via une fuite de données ou un phishing ancien, plusieurs informations personnelles sur vous : nom, prénom, date de naissance, adresse, numéro de téléphone, parfois numéro de pièce d’identité, parfois le nom de votre opérateur.

Acte 2 — Manipulation de l’opérateur. L’attaquant contacte votre opérateur télécom (Orange, SFR, Bouygues, Free) en se faisant passer pour vous. Plusieurs canaux possibles : appel au service client (« j’ai perdu mon téléphone, pouvez-vous transférer mon numéro sur une nouvelle SIM que je viens d’acheter ? »), envoi d’un faux courrier postal, ou exploitation d’une boutique physique avec une fausse pièce d’identité.

Acte 3 — Activation de la nouvelle SIM. L’opérateur, trompé, active une nouvelle SIM qui correspond désormais à votre numéro. Pendant ce temps, votre vraie SIM se désactive. Vous perdez soudainement le réseau sur votre téléphone — sans comprendre pourquoi.

Acte 4 — Exploitation. L’attaquant utilise votre numéro pour recevoir les codes SMS de double authentification envoyés par votre banque, votre messagerie, vos réseaux sociaux. Il prend le contrôle progressif de vos comptes en utilisant la fonction « mot de passe oublié » qui passe par SMS. En quelques heures : compte mail piraté, compte bancaire vidé, comptes sociaux utilisés pour arnaquer vos contacts.

Pourquoi ça marche

Trois failles cumulées :

1. La sécurité côté opérateur reste insuffisante. Les processus d’identification chez certains opérateurs reposent encore beaucoup sur des questions « secrètes » (date de naissance, dernière facture) qui sont trouvables. Les agents pressés en service client font parfois des concessions.

2. La double authentification par SMS est faussement rassurante. Beaucoup d’utilisateurs croient être protégés par la 2FA SMS de leur banque. En réalité, la 2FA SMS est précisément ce que le SIM swap permet de contourner — c’est pourquoi nous recommandons systématiquement la 2FA par application authentificatrice plutôt que par SMS. Voyez notre guide pour activer la 2FA partout.

3. Le délai de détection est long. Vous remarquez la perte de signal, vous appelez votre opérateur (qui met du temps à répondre), vous découvrez le problème — pendant ce temps, l’attaquant a déjà vidé votre compte. C’est une course de vitesse que vous perdez si vous n’êtes pas préparé.

Ce que vous risquez concrètement

Avec votre numéro de téléphone entre ses mains, l’attaquant peut typiquement :

Réinitialiser vos comptes bancaires en ligne via « mot de passe oublié » + code SMS reçu.
Réinitialiser vos comptes mail (Gmail, Outlook) qui utilisent encore la récupération par SMS.
Prendre le contrôle de WhatsApp en transférant le numéro sur son téléphone. Voyez aussi notre article sur WhatsApp piraté.
Accéder à votre application bancaire via la procédure de re-vérification du numéro.
Réaliser des virements validés par codes SMS qu’il intercepte directement.
Bypasser la 2FA SMS sur la plupart de vos comptes.

Les préjudices documentés en France en 2025 vont de quelques milliers à plusieurs dizaines de milliers d’euros. Plusieurs cas ont dépassé 100 000 € (souvent quand un faux conseiller bancaire et un SIM swap se combinent).

Comment se protéger préventivement

Heureusement, plusieurs mesures concrètes réduisent radicalement le risque :

Mesure 1 — Activer la « protection SIM » chez votre opérateur

Tous les opérateurs majeurs proposent désormais une option de blocage du SIM swap :

Chez Orange : « Verrou SIM » ou « Protection mon numéro » — bloque toute demande de nouvelle SIM hors présence physique en boutique avec pièce d’identité.
Chez SFR : similaire, à demander explicitement au service client.
Chez Bouygues Telecom : option « Verrouillage de carte SIM » dans votre espace client.
Chez Free Mobile : moins formalisé mais possible sur demande explicite.

Appelez votre opérateur cette semaine et demandez : « Quelle est l’option de protection contre le SIM swap chez vous ? Comment je l’active ? ». Cette seule mesure réduit le risque de 90 % minimum.

Mesure 2 — Basculer la 2FA SMS vers une 2FA par application

C’est la mesure technique principale. Sur tous vos comptes critiques, remplacez la 2FA SMS par une 2FA via application authentificatrice (Microsoft Authenticator, Google Authenticator, Bitwarden Authenticator). L’attaquant peut voler votre numéro — il ne peut pas voler votre application installée sur votre téléphone. Voyez aussi notre guide pour activer la 2FA partout.

Mesure 3 — Activer un code PIN sur la SIM elle-même

Sur iPhone : Réglages → Cellulaire → Code PIN de la SIM → activer. Sur Android : Paramètres → Sécurité → Verrouillage SIM → activer.

Cela ne protège pas du SIM swap (qui se passe côté opérateur, pas sur votre téléphone), mais cela protège du vol physique de votre SIM.

Mesure 4 — Surveiller les notifications opérateur

Beaucoup d’opérateurs envoient un mail ou un SMS lors d’un changement de SIM. Activez ces notifications dans votre espace client. À la moindre alerte, appelez immédiatement le service client.

Mesure 5 — Limiter ce qui circule sur vous

Le SIM swap commence par la collecte d’informations sur vous. Moins vous laissez circuler de données (date de naissance complète, adresse, nom de jeune fille de votre mère sur les réseaux sociaux), plus vous compliquez la tâche de l’attaquant. Voyez aussi notre article sur le droit à l’oubli RGPD pour nettoyer vos traces.

Vous êtes victime : la procédure d’urgence

Si vous constatez une perte soudaine de signal mobile sans raison technique apparente, considérez que c’est un SIM swap jusqu’à preuve du contraire. Le délai d’action est critique.

Minutes 0-10 — Vérifier

Essayez d’appeler votre opérateur depuis un autre téléphone (un fixe, un téléphone familial). Si votre compte télécom n’est plus à vos noms ou si une nouvelle SIM a été activée, vous êtes en SIM swap.

Minutes 10-30 — Stopper l’attaque

Demandez immédiatement à l’opérateur :

Désactivation de la SIM frauduleuse.
Réactivation de votre vraie SIM.
Activation immédiate du verrou SIM si pas déjà fait.

Minutes 30-60 — Sécuriser les comptes

Depuis un autre appareil (ordinateur familial, smartphone d’un proche) :

Changement immédiat des mots de passe de votre mail principal, votre banque, vos comptes critiques.
Vérification des sessions actives sur chaque compte.
Activation de la 2FA par application (et non plus par SMS).

Heure 1-3 — Banque et signalements

Appel à votre banque pour blocage et examen des opérations récentes.
Signalement sur 17cyber.gouv.fr.
Dépôt de plainte au commissariat. Voyez notre guide pour porter plainte au Mans.

Jour J+1 et suivants

Contestation écrite à la banque sous DSP2 pour les opérations frauduleuses.
Examen approfondi de tous vos comptes en ligne (réseaux sociaux, services administratifs).
Si WhatsApp a été repris, suivez notre procédure de récupération WhatsApp.

Le SIM swap chez les opérateurs : les responsabilités

Si l’opérateur a activé une nouvelle SIM sans vérification suffisante de votre identité, il peut être considéré comme partiellement responsable du préjudice. Plusieurs jugements en France ont reconnu la responsabilité d’opérateurs pour défaut de vigilance dans le processus d’identification.

En cas de SIM swap suivi de fraude :

Demandez à votre opérateur, par lettre recommandée, la copie des éléments d’identification qui ont été présentés pour activer la nouvelle SIM. Vous avez le droit d’y accéder via votre droit RGPD.
Si les éléments sont manifestement insuffisants (par exemple une simple date de naissance), c’est un argument juridique fort pour engager la responsabilité de l’opérateur.
En parallèle, l’engagement de la responsabilité bancaire sous DSP2 reste actif.

Le cas particulier des numéros « jetables »

Certaines personnes me demandent s’il est utile d’avoir un numéro de téléphone secondaire « jetable » pour les services en ligne. La réponse honnête : c’est une mesure complémentaire utile pour les comptes les moins critiques (forums, sites marchands secondaires, applications de rencontre), mais elle ne remplace pas les autres mesures pour les comptes critiques. Et il faut renouveler ce numéro régulièrement, sinon il finit par accumuler autant d’expositions que votre numéro principal.

En résumé

SIM swap : escroc qui prend le contrôle de votre numéro de téléphone via votre opérateur pour intercepter vos codes SMS de double authentification. Mécanisme : usurpation d’identité chez l’opérateur, activation d’une SIM frauduleuse, vidage progressif des comptes via « mot de passe oublié ». Protection : activer le verrou SIM chez votre opérateur (mesure principale), basculer toute 2FA SMS vers 2FA application, surveiller les notifications opérateur. En cas d’attaque : réactiver la vraie SIM en urgence, sécuriser les comptes depuis un autre appareil, signaler, porter plainte, demander à l’opérateur les éléments d’identification utilisés.

Si vous êtes au Mans ou en Sarthe et que vous voulez un audit complet de votre exposition au SIM swap (configuration opérateur, audit 2FA, sécurisation des comptes critiques), je propose un Audit Sérénité Solo à 149 € (74,50 € après crédit d’impôt service à la personne). Et si vous êtes déjà victime, le forfait d’intervention curative à 199 € (99,50 € après crédit d’impôt) couvre la procédure complète. Détails sur les pages audit et intervention d’urgence. Premier contact gratuit au 07 51 13 37 69.