Attaque par échange de carte SIM : comment les pirates informatiques s’emparent de votre numéro de téléphone
Votre numéro de téléphone est en quelque sorte la clé d'accès à votre argent. Votre banque, votre messagerie, votre plateforme d'échange de cryptomonnaies s'y fient pour prouver votre identité, généralement par l'envoi d'un code par SMS. Une attaque par échange de carte SIM s'empare de cette clé et la transmet à un inconnu, souvent pendant le temps qu'il vous faut pour remarquer que votre écran affiche « Aucun service ». Le temps que vous vous reconnectiez, un pirate peut avoir réinitialisé vos mots de passe et vidé vos comptes. Pour les détenteurs de cryptomonnaies, les dégâts sont encore plus importants : une fois les cryptomonnaies sorties d'un portefeuille, il est impossible de les récupérer.
Ce guide explique ce qu'est une attaque par échange de carte SIM, comment elle fonctionne étape par étape, pourquoi elle est devenue l'outil de prédilection pour voler des cryptomonnaies et les quelques changements qui permettent de l'arrêter.
Qu'est-ce qu'une attaque par échange de carte SIM et pourquoi elle fonctionne ?
Une attaque par échange de carte SIM est une fraude à la prise de contrôle de compte qui exploite une faille du système d'authentification à deux facteurs : les SMS . Votre carte SIM (module d'identification de l'abonné) est la petite puce qui associe votre numéro de téléphone mobile à votre appareil. Lors d'un échange de carte SIM, l'attaquant ne touche jamais votre appareil. Il convainc votre opérateur de transférer votre numéro sur une nouvelle carte SIM qu'il détient. Dès que le transfert est effectué, tous les appels et SMS qui vous sont destinés, y compris les codes de sécurité, arrivent sur son téléphone.
C'est là que les gens se trompent. Il ne s'agit pas d'un piratage de téléphone ni d'une faille dans un algorithme de chiffrement. C'est une arnaque au service client. La faille exploitée, c'est l'humain chez l'opérateur et la fausse croyance que posséder un numéro de téléphone prouve l'identité. En clair, un échange de carte SIM consiste simplement à persuader une entreprise de divulguer votre numéro, puis à l'utiliser pour accéder à tous les services qu'il protège. Les chercheurs en sécurité classent les arnaques par échange de carte SIM dans la catégorie des vols d'identité, et ce à juste titre. L'attaquant ne vise pas seulement votre argent ; pendant un temps, il contrôle toute votre identité numérique, transitant par un simple compte de téléphonie mobile que vous pensiez vous appartenir.
Comment fonctionne une attaque par échange de carte SIM, étape par étape
Presque tous les cas suivent les mêmes trois étapes, et aucun ne requiert de compétences avancées en piratage. Ils exigent de la patience et une histoire convaincante.
Étape 1 : Collecte de vos informations personnelles
L'attaquant commence par établir votre profil. Il récupère des informations personnelles provenant d'anciennes fuites de données vendues sur le dark web, d'e-mails d'hameçonnage vous incitant à saisir vos informations, et de vos propres réseaux sociaux. Une date de naissance par-ci, le nom d'un animal de compagnie par-là, les quatre derniers chiffres d'une carte bancaire issus d'une base de données divulguée : il dispose ainsi de suffisamment d'informations personnelles pour imiter votre voix au téléphone. Plus vous avez publié d'informations publiquement, plus cette étape est peu coûteuse. La plupart de ces données personnelles ne sont pas des données volées récemment. Elles ont fuité il y a des années lors d'une fuite oubliée, et l'attaquant se contente de reconstituer un ensemble crédible à partir de ces fragments épars.
Étape 2 : Se faire passer pour vous auprès du transporteur
Ensuite, ils usurpent votre identité auprès de votre opérateur mobile. Parfois, il s'agit d'un appel téléphonique avec une histoire bien rodée concernant un téléphone perdu ou cassé. Parfois, c'est une visite en magasin avec une fausse pièce d'identité. Dans les pires cas, le pirate corrompt ou recrute un employé de l'opérateur, transformant ainsi toute la sécurité en un seul complice malhonnête. Il s'agit d'ingénierie sociale, et non de programmation, et cela fonctionne car le personnel du service client est formé pour être serviable et réduire la file d'attente.
Étape 3 : L'échange et la prise de contrôle
Une fois que l'opérateur active la nouvelle carte SIM — moment crucial de l'attaque — votre téléphone principal devient inutilisable. L'attaquant contrôle alors le numéro. Il se connecte à votre messagerie ou à votre compte Exchange, clique sur « Mot de passe oublié » et attend de recevoir le code de réinitialisation par SMS. Il intercepte ce SMS, réinitialise le mot de passe et accède à vos comptes. Votre messagerie étant piratée, il accède à tous les autres comptes qui y sont liés. Le piratage complet des comptes peut se faire en quelques minutes, bien avant que la plupart des gens ne réalisent pourquoi leur téléphone est hors service.
Pourquoi les échanges de carte SIM sont une machine à voler des cryptomonnaies
De nombreuses attaques peuvent vider un compte bancaire, mais les banques peuvent annuler les virements frauduleux. Les cryptomonnaies fonctionnent différemment, et c'est précisément cette différence qui rend l'échange de carte SIM si dévastateur dans ce secteur financier.
L'authentification à deux facteurs par SMS est le seul point de défaillance.
La plupart des plateformes d'échange permettent encore aux utilisateurs de protéger leur compte par un code envoyé par SMS. Cela semble sûr jusqu'à ce qu'on réalise que toute la protection repose sur une seule hypothèse : que vous seul receviez vos SMS. Un échange de carte SIM remet en cause cette hypothèse. Un seul code intercepté suffit à réinitialiser l'identifiant, et l'authentification à deux facteurs par SMS, censée être votre filet de sécurité, devient une porte ouverte. L'attaquant n'a plus besoin de votre mot de passe s'il peut le réinitialiser via votre numéro. Pire encore, cette même technique rend le mot de passe inefficace, car de nombreuses plateformes permettent de le récupérer par SMS. Le code SMS n'est pas une deuxième serrure ; c'est la seule, et l'échange de carte SIM en détient la clé. Même les institutions se font prendre : en 2024, le compte X de la SEC a été piraté via un échange de carte SIM et utilisé pour publier une fausse approbation d'ETF Bitcoin, ce qui a brièvement semé la panique sur le marché.
Irréversible par conception
Une banque peut bloquer un virement et annuler une transaction. Une blockchain, non. Une fois qu'un pirate a transféré vos cryptomonnaies vers un portefeuille qu'il contrôle, le transfert est définitif : aucun remboursement n'est possible et aucun service d'assistance n'est disponible. Cette irréversibilité est une caractéristique des cryptomonnaies, mais elle transforme un simple vol de carte SIM en une perte irrémédiable. C'est pourquoi les pirates ciblent spécifiquement les détenteurs de cryptomonnaies connus. Les sommes en jeu illustrent l'ampleur des enjeux.
| Cas | Année | Montant | Comment cela s'est-il passé |
|---|---|---|---|
| Michael Terpin contre AT&T | 2018 | 24 millions de dollars | Numéro transféré, comptes crypto vidés |
| braquage du jour de la faillite de FTX | 2022 | environ 400 millions de dollars | Échange de carte SIM pendant l'effondrement de la bourse |
| Vol de bitcoins à Washington DC | 2024 | 4 100 BTC, soit environ 263 millions de dollars | Ingénierie sociale et échanges de cartes SIM, 9 condamnations |
| victime d'un arbitrage avec T-Mobile | 2020 | 33 millions de dollars accordés | Défaillance de la sécurité de l'opérateur, échanges répétés |
| piratage de compte SEC X | 2024 | fausse publication susceptible d'influencer le marché | Échange de carte SIM du compte de l'agence |
Les attaques par échange de carte SIM sont-elles réellement fréquentes ?
La réponse honnête est paradoxale. En chiffres absolus, ces attaques sont rares, mais par victime, elles sont catastrophiques, et les chiffres officiels sous-estiment largement les pertes en cryptomonnaies.
Commençons par examiner les chiffres totaux déclarés. Le Centre de plaintes pour la cybercriminalité du FBI a enregistré 982 plaintes pour usurpation d'identité par échange de carte SIM en 2024, représentant des pertes d'environ 26 millions de dollars, contre un pic de près de 72,6 millions de dollars en 2022. Microsoft a constaté que moins de 0,3 % des attaques par usurpation d'identité utilisent l'échange de carte SIM, un chiffre bien inférieur à celui du phishing classique. À première vue, ces chiffres pourraient paraître insignifiants.
| Année | Pertes signalées lors d'échanges de cartes SIM (FBI IC3) |
|---|---|
| 2022 | 72,6 millions de dollars |
| 2023 | 48,8 millions de dollars |
| 2024 | 26 millions de dollars (982 plaintes) |
Examinons cela de plus près. La même année où les pertes officielles liées aux échanges de cartes SIM s'élevaient à environ 26 millions de dollars, une seule affaire à Washington D.C. a transféré près de 263 millions de dollars en bitcoins, et le vol chez FTX a coûté environ 400 millions de dollars. Ces deux affaires ne sont pas classées dans la catégorie des échanges de cartes SIM, car les enquêteurs les classent dans des catégories plus larges de fraude ou de vol. L'enseignement à tirer n'est pas que cette attaque est inoffensive. Il s'agit plutôt d'une pratique rare, ciblée et visant des personnes disposant de capitaux réels, notamment en cryptomonnaies, où un seul succès compense mille échecs. En moyenne, chaque escroquerie par échange de carte SIM signalée en 2024 a coûté environ 26 000 dollars à sa victime, et il ne s'agit là que des cas suffisamment mineurs pour être classés comme échanges de cartes SIM. Les vols de cryptomonnaies les plus médiatisés, ceux qui se chiffrent en dizaines ou centaines de millions de dollars, sont comptabilisés dans des registres totalement différents.
Signes avant-coureurs d'une attaque par échange de carte SIM
Vous recevez généralement un avertissement vous informant qu'un changement de carte SIM est en cours, et le compte à rebours commence dès que la carte SIM est posée. Ce sont les minutes qui comptent, pas les heures.
Le plus grave est d'une simplicité enfantine : votre téléphone perd le réseau sans raison apparente. Batterie pleine, aucune panne d'opérateur, tout le monde autour de vous capte, et vous, plus rien. En centre-ville, ce n'est pas un simple bug. Considérez cela comme une alerte, car c'en est probablement une. D'autres signes apparaissent sur tous les appareils encore fonctionnels. Vous êtes bloqué sur un compte que vous utilisiez la veille. Vous recevez un SMS de réinitialisation de mot de passe que vous n'avez jamais demandé. Votre opérateur vous envoie des e-mails pour « confirmer » une nouvelle carte SIM que vous n'avez pas sollicitée. Repérez l'un de ces signes sur vos autres appareils mobiles et considérez que quelqu'un tente de prendre le contrôle de votre numéro de téléphone. Quoi que vous fassiez ensuite, agissez vite, car le pirate est déjà à l'œuvre.
Comment éviter le vol de carte SIM et se protéger
Il est impossible d'empêcher un criminel déterminé de manipuler un centre d'appels par ingénierie sociale, mais vous pouvez rendre votre numéro inutilisable pour lui. Un seul changement peut faire toute la différence.
Obtenez de l'argent avec les SMS
Un seul geste compte plus que tous les autres. Cessez d'utiliser les SMS comme deuxième facteur d'authentification pour vos comptes importants. Utilisez une application d'authentification pour tous vos comptes (plateformes de change, banques, messageries), ou mieux encore, une clé de sécurité matérielle qu'un pirate devrait voler en personne. Ce n'est plus de la paranoïa de façade. Fin 2024, le FBI et la CISA ont recommandé au public d'abandonner complètement les codes SMS, et les nouvelles normes fédérales d'identité du NIST ne considèrent plus les SMS comme une méthode d'authentification suffisante pour les comptes sensibles. Si un service ne propose que les SMS, investissez votre argent dans un service compatible avec une application ou une clé. L'explication est simple : un code d'authentification est stocké uniquement sur votre appareil. Une clé matérielle, elle, ne peut être ni copiée ni obtenue par la persuasion. En cas de vol de votre numéro, ni l'un ni l'autre ne sont transférés ; le changement de numéro ne vous permettra donc d'accéder à aucun compte.
Verrouillez l'opérateur et votre empreinte.
Ensuite, renforcez la sécurité de votre numéro. Ajoutez un code PIN SIM ou un verrouillage de transfert de numéro auprès de votre opérateur afin d'empêcher tout changement non autorisé. De nombreux fournisseurs proposent désormais ce service gratuitement, comme la Protection SIM de Verizon, qui bloque les modifications jusqu'à sa désactivation. Utilisez un mot de passe fort et unique ainsi qu'un gestionnaire de mots de passe pour éviter qu'une simple fuite de données ne compromette l'accès à l'ensemble de vos données. Enfin, évitez d'afficher vos avoirs en cryptomonnaies, car c'est précisément en se vantant publiquement que les pirates informatiques choisissent leurs cibles. Les portefeuilles discrets sont beaucoup moins souvent piratés que les portefeuilles ostentatoires.
Que faire en cas de remplacement de carte SIM ?
La rapidité d'intervention est cruciale pour la gravité d'une fraude par échange de carte SIM. Agissez donc dans l'ordre. Commencez par appeler votre opérateur depuis un autre téléphone pour signaler le piratage de votre carte SIM et récupérer votre numéro. Ensuite, depuis un appareil fiable, réinitialisez les mots de passe de votre messagerie et de vos comptes d'échange, et désactivez l'authentification à deux facteurs par SMS pour chacun d'eux. Si vous détenez des cryptomonnaies, bloquez les retraits sur votre plateforme d'échange et transférez vos fonds si possible. Documentez ensuite toutes les actions entreprises et déposez une plainte auprès du Centre de plaintes pour la cybercriminalité du FBI et de la FTC. Ces mesures ne peuvent pas annuler un vol déjà effectué, mais elles peuvent stopper une attaque en cours et empêcher la prise de contrôle de vos comptes de se propager.
Une attaque par échange de carte SIM cible le maillon faible.
Une attaque par échange de carte SIM ne compromet pas votre sécurité ; elle la contourne, via un opérateur téléphonique qui n'a jamais été conçu pour protéger vos fonds. Votre numéro n'a jamais été destiné à être une pièce d'identité, et pourtant, il est omniprésent. Pour tout ce qui touche à l'argent, la solution la plus sûre est simple : considérez l'authentification à deux facteurs par SMS comme déjà vulnérable et optez dès aujourd'hui pour une application ou une clé matérielle, plutôt que d'attendre une panne de réseau. La solution est simple, radicale et ne prend qu'une dizaine de minutes. Alors, voici la seule question qui compte : si votre téléphone tombait en panne maintenant, combien un inconnu pourrait-il soutirer avant que vous ne le récupériez ?
