C'est quoi le SIM swapping ?

Le SIM swapping (ou échange de carte SIM) est une fraude où un attaquant se fait passer pour vous auprès de votre opérateur téléphonique pour faire transférer votre numéro de téléphone sur une carte SIM qu'il possède. Une fois le transfert effectué, il reçoit vos SMS et appels — y compris les codes de vérification MFA envoyés par SMS par vos banques, votre messagerie et vos services en ligne.

Comment fonctionne une attaque SIM swapping ?

L'attaquant collecte d'abord vos informations personnelles (nom, date de naissance, adresse, numéro de client) par ingénierie sociale, phishing ou achat de données volées. Il contacte ensuite votre opérateur en se faisant passer pour vous, invoque un prétexte (perte de téléphone, changement de carte SIM) et demande le transfert de votre numéro. L'opérateur effectue le changement — votre téléphone perd le réseau et l'attaquant reçoit vos SMS.

Comment savoir si je suis victime de SIM swapping ?

Les signes d'alerte sont immédiats : perte soudaine du réseau mobile (plus de signal, impossible de passer des appels ou d'envoyer des SMS), notifications de réinitialisation de mot de passe que vous n'avez pas demandées, alertes de connexion depuis des appareils inconnus. Si votre téléphone perd le réseau sans raison apparente, contactez votre opérateur immédiatement.

Comment se protéger contre le SIM swapping ?

Quatre mesures prioritaires : remplacer le MFA par SMS par une application d'authentification (Microsoft Authenticator, Google Authenticator) ou une clé FIDO2, mettre en place un code PIN ou un mot de passe sur votre compte opérateur, limiter les informations personnelles publiquement accessibles (LinkedIn, réseaux sociaux), et envisager le passage à une eSIM qui ne peut pas être transférée par téléphone.

Pourquoi les dirigeants sont-ils des cibles privilégiées ?

Les dirigeants sont des cibles à forte valeur : accès aux comptes bancaires de l'entreprise, à la messagerie professionnelle, aux données stratégiques. Leurs informations personnelles sont souvent publiques (LinkedIn, site de l'entreprise, registres légaux). Et la compromission d'un compte de dirigeant ouvre la porte à la fraude au président, où l'attaquant se fait passer pour le PDG pour ordonner des virements.

SIM swapping : définition, fonctionnement et protection des dirigeants

Comment fonctionne le SIM swapping

Le SIM swapping exploite une faiblesse qui n’est pas technique mais procédurale : les processus de vérification d’identité des opérateurs téléphoniques. L’attaquant n’a pas besoin de pirater un serveur ou d’exploiter une faille logicielle. Il lui suffit de convaincre un conseiller clientèle.

Le processus d’attaque

1. Collecte d’informations sur la victime

L’attaquant rassemble les données nécessaires pour se faire passer pour la victime auprès de l’opérateur. Ces informations proviennent de plusieurs sources :

Profils LinkedIn et réseaux sociaux : nom complet, entreprise, fonction, parfois date de naissance
Registres publics : Infogreffe, Societe.com, Pappers pour les dirigeants d’entreprise (adresse du siège, numéro SIREN)
Fuites de données : les bases volées (France Travail, Viamedis) contiennent souvent noms, adresses, dates de naissance et numéros de téléphone
Phishing ou vishing préalable : un faux appel du “service client” de l’opérateur pour récupérer le numéro de client ou le code PIN du compte

2. Contact avec l’opérateur

L’attaquant appelle le service client de l’opérateur ou se rend en boutique avec une fausse pièce d’identité. Il se présente comme la victime et invoque un prétexte :

“J’ai perdu mon téléphone, j’ai besoin d’une nouvelle carte SIM”
“Mon téléphone a été volé, bloquez l’ancienne SIM et activez celle-ci”
“Je change de téléphone et j’ai besoin de transférer mon numéro”

Dans certains cas, l’attaquant a un complice au sein de l’opérateur (un employé corrompu) qui effectue le transfert directement dans le système, sans vérification.

3. Transfert du numéro

L’opérateur désactive la carte SIM de la victime et active le numéro sur la carte SIM de l’attaquant. Ce processus prend quelques minutes. La victime perd immédiatement le réseau mobile.

4. Exploitation

L’attaquant reçoit maintenant tous les SMS et appels destinés à la victime. Il peut :

Recevoir les codes MFA par SMS envoyés par les banques, la messagerie, les services cloud
Déclencher des réinitialisations de mot de passe sur tous les comptes liés au numéro de téléphone
Accéder aux comptes bancaires et effectuer des virements
Prendre le contrôle de la messagerie professionnelle et lancer une fraude au président (BEC)

Le temps entre le transfert de SIM et l’exploitation des comptes est souvent inférieur à 30 minutes. La victime réalise le problème quand son téléphone ne capte plus le réseau — mais le mal est déjà fait.

Pourquoi les dirigeants sont des cibles prioritaires

Le SIM swapping n’est pas une attaque de masse. C’est une attaque ciblée, et les dirigeants d’entreprise sont des cibles de choix pour plusieurs raisons.

Accès à forte valeur

Un PDG, un directeur financier ou un directeur général a accès à des ressources que les employés standard n’ont pas :

Comptes bancaires de l’entreprise : validation de virements, accès aux interfaces de banque en ligne
Messagerie avec informations stratégiques : négociations en cours, données financières, contrats
Comptes administrateur sur les outils SaaS : Microsoft 365, ERP, CRM
Pouvoir de décision : un attaquant qui contrôle le compte d’un dirigeant peut ordonner des actions (virements, partage de documents) sans éveiller les soupçons

Informations personnelles accessibles

Les dirigeants ont un profil public bien plus exposé que les employés :

LinkedIn : nom, prénom, fonction exacte, entreprise, parcours
Site web de l’entreprise : photo, biographie, coordonnées parfois directes
Registres légaux (Infogreffe, Bodacc) : adresse personnelle ou professionnelle, date de nomination
Articles de presse et interviews : détails personnels, habitudes, centres d’intérêt

Toutes ces informations servent à construire un profil crédible pour convaincre l’opérateur ou pour répondre aux questions de sécurité.

L’effet cascade

La compromission du numéro d’un dirigeant ne donne pas seulement accès à ses comptes. Elle ouvre la porte à des attaques secondaires :

Fraude au président : envoyer des demandes de virement “urgentes” depuis le vrai compte email du PDG
Spear phishing interne : envoyer des emails piégés aux équipes depuis l’adresse du dirigeant
Espionnage : lire les échanges confidentiels, les projets en cours, les négociations

Le SIM swapping en France

Le cadre des opérateurs français

En France, les opérateurs (Orange, SFR, Bouygues Telecom, Free) ont renforcé leurs procédures de vérification ces dernières années, mais le risque persiste. La vérification d’identité pour un changement de SIM repose encore largement sur :

La présentation d’une pièce d’identité en boutique (une fausse pièce suffit)
La vérification de données personnelles par téléphone (nom, date de naissance, adresse — des informations trouvables en ligne)
Un code PIN de compte client (que beaucoup d’abonnés n’ont jamais configuré)

Des cas documentés

L’ANSSI et Cybermalveillance.gouv.fr alertent régulièrement sur la montée du SIM swapping en France, en particulier pour les fraudes bancaires. Le rapport annuel 2023 de la plateforme Cybermalveillance.gouv.fr note une progression des signalements liés au piratage de comptes, dont le SIM swapping est l’un des vecteurs.

Au niveau européen, Europol a démantelé en 2021 un réseau criminel responsable de vols totalisant plus de 100 millions d’euros via SIM swapping, ciblant des célébrités, des sportifs et des dirigeants d’entreprise à travers l’Europe.

Le cadre juridique

Le SIM swapping constitue en droit français une usurpation d’identité (article 226-4-1 du Code pénal, puni d’un an d’emprisonnement et 15 000 euros d’amende) et un accès frauduleux à un système de traitement automatisé de données (articles 323-1 et suivants, jusqu’à 5 ans d’emprisonnement et 150 000 euros d’amende). En pratique, les poursuites sont complexes car les auteurs opèrent souvent depuis l’étranger.

SIM swapping et contournement du MFA

Le SIM swapping est directement lié à la faiblesse du MFA par SMS. Quand une entreprise utilise le SMS comme deuxième facteur d’authentification, le SIM swapping transforme cette protection en vulnérabilité.

Pourquoi le MFA par SMS est vulnérable

Le SMS n’a jamais été conçu comme un canal sécurisé. Le protocole SS7 qui sous-tend le réseau téléphonique date des années 1970 et ne prévoit aucun chiffrement des messages en transit. Le SIM swapping est la manière la plus directe d’exploiter cette faiblesse : l’attaquant n’a même pas besoin d’intercepter techniquement les SMS, il les reçoit nativement sur son téléphone.

Le NIST (National Institute of Standards and Technology) déconseille le SMS comme facteur d’authentification depuis 2017 dans ses recommandations SP 800-63B, en raison des risques de SIM swapping et d’interception SS7.

Le scénario type de compromission

L’attaquant obtient le mot de passe de la victime (par credential stuffing, phishing ou fuite de données)
Il effectue un SIM swap pour recevoir les SMS de la victime
Il se connecte au compte cible, entre le mot de passe volé
Le service envoie un code SMS — que l’attaquant reçoit sur son téléphone
L’attaquant valide le MFA et accède au compte

Le mot de passe et le SMS sont compromis simultanément. Les deux facteurs tombent ensemble.

La solution : abandonner le SMS

La hiérarchie de sécurité des facteurs MFA est claire :

Vulnérable au SIM swapping : SMS, appel vocal
Résistant au SIM swapping : application TOTP (Google Authenticator, Microsoft Authenticator), notification push avec number matching
Résistant au SIM swapping ET au phishing AiTM : clés FIDO2 (YubiKey), passkeys

Pour les dirigeants et les comptes à haut privilège, la clé FIDO2 est le choix recommandé. Elle est résistante à la fois au SIM swapping et aux kits de phishing AiTM.

Comment se protéger

1. Remplacer le MFA par SMS

Première mesure, non négociable pour les comptes sensibles :

Comptes bancaires : passer à l’authentification via l’application bancaire (SécuriPass, Certicode Plus) au lieu du SMS
Microsoft 365 / Google Workspace : configurer Microsoft Authenticator ou Google Authenticator avec number matching
Comptes personnels des dirigeants : activer l’application d’authentification partout (email personnel, réseaux sociaux, stockage cloud)

2. Protéger le compte opérateur

Contacter votre opérateur pour :

Activer un code PIN ou un mot de passe spécifique pour toute modification du compte (changement de SIM, portabilité)
Demander une alerte par email en cas de demande de changement de SIM
Exiger une vérification renforcée en boutique (présentation obligatoire d’une pièce d’identité avec photo)

Chez Orange, cette protection s’appelle “Verrouillage de la ligne”. Chez SFR, une option de sécurité renforcée existe pour les comptes professionnels. Vérifiez les options de votre opérateur.

3. Limiter l’exposition des informations personnelles

Réduire la quantité d’informations publiques exploitables par un attaquant :

LinkedIn : masquer la date de naissance, limiter les détails personnels
Site web de l’entreprise : ne pas publier de coordonnées directes des dirigeants
Réseaux sociaux personnels : profils en mode privé
Registres légaux : utiliser l’adresse du siège social plutôt qu’une adresse personnelle pour les mandats sociaux

4. Envisager l’eSIM

Les eSIM (SIM intégrées au téléphone, sans carte physique) sont plus difficiles à transférer par SIM swapping classique. Le transfert d’une eSIM nécessite un accès au compte opérateur en ligne, qui peut être protégé par un MFA fort (application, pas SMS).

Attention : l’eSIM ne rend pas le SIM swapping impossible, mais elle ajoute une couche de difficulté pour l’attaquant.

5. Sensibiliser les équipes dirigeantes

Les dirigeants sont souvent les derniers à suivre les formations de sécurité. Un briefing dédié doit couvrir :

Le risque spécifique du SIM swapping pour les profils à haut accès
Les signaux d’alerte (perte de réseau soudaine)
Le réflexe à avoir en cas de suspicion : appeler l’opérateur immédiatement depuis un autre téléphone

Que faire si vous êtes victime

Si votre téléphone perd le réseau de manière inexpliquée, agissez dans les minutes qui suivent :

1. Contactez votre opérateur immédiatement depuis un autre téléphone (fixe, téléphone d’un collègue). Demandez le blocage de la ligne et la restauration de votre numéro sur votre carte SIM.

2. Changez tous vos mots de passe en commençant par la messagerie, les comptes bancaires et les outils professionnels. Utilisez un ordinateur sur lequel vous êtes déjà connecté — ne passez pas par la réinitialisation par SMS.

3. Vérifiez les connexions récentes sur tous vos comptes (Microsoft 365 : portail Mon Compte > Sécurité > Activité de connexion ; Google : myaccount.google.com/security).

4. Alertez votre banque pour bloquer les transactions suspectes et signaler la fraude.

5. Déposez plainte auprès de la police ou de la gendarmerie. Le SIM swapping est un délit pénal. Conservez toutes les preuves (capture d’écran des notifications reçues, journaux de connexion, échanges avec l’opérateur).

6. Signalez l’incident sur Cybermalveillance.gouv.fr pour être accompagné dans les démarches et contribuer au suivi national de la menace.

Vérifiez la configuration email de votre domaine avec notre vérificateur de sécurité email pour vous assurer que les protocoles SPF, DKIM et DMARC empêchent l’usurpation de votre domaine — un levier d’ingénierie sociale utilisé en amont du SIM swapping.

SIM swapping