Qu'est-ce que le SIM swapping ?

Si votre carte SIM est “swappée” par un attaquant suite à la duperie de votre opérateur, vous perdez le contrôle de votre numéro de téléphone. Le pirate reçoit alors tous les appels et SMS entrants, y compris les codes d’authentification à deux facteurs. Cela lui ouvre un boulevard pour infiltrer vos comptes mail, réseaux sociaux, applications bancaires, plateformes d’échange de cryptos... et vider vos avoirs ou voler votre identité numérique. C’est un véritable cauchemar dont il est souvent difficile de se remettre. 

Qu’est-ce que le SIM swapping ?

Le SIM swapping, également connu sous les noms “SIM hijacking” ou “SIM splitting”, est une technique de piratage redoutable consistant à prendre le contrôle du numéro de téléphone d’une victime en obtenant un duplicata de sa carte SIM.

Pour ce faire, le fraudeur se fait passer pour la victime auprès de son opérateur mobile, puis prétend avoir perdu ou s’être fait voler son téléphone. Son but : obtenir une nouvelle carte SIM lui permettant de recevoir tous les appels et SMS destinés à la victime... y compris les précieux codes d’authentification à deux facteurs (2FA).

Une fois en possession de ces codes, le pirate peut alors réinitialiser les mots de passe et prendre le contrôle des comptes les plus sensibles de sa victime : messagerie, réseaux sociaux, banque en ligne, plateformes d’échange de cryptomonnaies. Les conséquences peuvent être catastrophiques : vol de données personnelles, comptes bancaires ou wallets de cryptomonnaies vidés, chantage, etc.

Comment savoir si on a été victime d’un SIM swapping ?

Il existe plusieurs indices révélateurs qui doivent vous alerter si quelqu’un utilise votre carte SIM à votre insu suite à un SIM swapping :

Perte soudaine de réseau mobile

Vous ne captez plus de signal alors que vous êtes dans une zone normalement bien couverte. Vous ne pouvez plus passer d’appels ni envoyer de SMS, et ce même après redémarrage du téléphone. C’est le signe que votre carte SIM a été désactivée et votre numéro transféré.

SMS ou appels émis à votre insu

En consultant votre journal d’appels et votre historique de SMS, vous constatez des activités que vous n’avez pas initiées. Des SMS ont été envoyés depuis votre numéro à des destinataires inconnus. Des appels ont été passés vers des numéros étrangers. Clairement, un deuxième appareil est en train d’utiliser votre numéro.

Notifications suspectes de connexion 

Vous recevez des emails ou alertes vous informant de nouvelles connexions à vos comptes email, réseaux sociaux, applications bancaires ou de crypto-trading. Le problème est que vous ne vous êtes pas connecté à ce moment-là. Ou alors depuis un appareil ou lieu inhabituels (autre pays par exemple).

Échecs d’authentification par SMS

Lorsque vous essayez de vous connecter à un compte protégé par double authentification SMS, vous ne recevez pas le code permettant de valider la connexion. Soit le SMS n’arrive jamais, soit il est refusé. Cela signifie que le pirate reçoit et utilise le code à votre place pour infiltrer le compte.

Proches signalant des demandes bizarres

Vos amis, famille ou collègues vous contactent, intrigués par d’étranges messages reçus soi-disant de votre part. On leur a demandé de l’argent, des infos confidentielles ou des faveurs douteuses en se faisant passer pour vous. C’est la signature d’un usurpateur cherchant à exploiter votre identité et vos relations.

Individuellement, chacun de ces événements peut avoir une explication anodine. Mais si plusieurs de ces signaux s’accumulent, notamment la perte de réseau couplée à des notifications suspectes, il y a urgence à réagir. Il y a peu de doutes, vous devez contacter votre opérateur pour bloquer votre ligne et les accès compromis.

Comment fonctionne une arnaque par SIM swap ?

Une attaque par SIM swapping peut durer de quelques minutes à plusieurs heures, selon la rapidité du fraudeur et sa détermination à prendre possession des comptes de sa victime. Un délai souvent suffisant pour vider les comptes bancaires et crypto-wallets, ou encore extorquer l’entourage en se faisant passer pour la victime. Voici comment les pirates procèdent.

Étape 1 : traque numérique

Tout commence par une phase de reconnaissance approfondie de la victime. Le pirate va méthodiquement récolter des informations personnelles sur sa cible en exploitant différentes sources :

• Les réseaux sociaux (Facebook, Instagram, LinkedIn, notamment) où beaucoup surexposent leur vie privée sans s’en rendre compte. Dates de naissance, adresses, numéros de téléphone, noms d’animaux de compagnie ou d’enfants.

• Des techniques d’ingénierie sociale ciblant l’entourage personnel ou professionnel de la victime. En se faisant passer pour un prestataire, un ami d’ami ou un collègue, le pirate soutire habilement de nouvelles infos, recoupant jusqu’à reconstituer un profil très complet.

• L’achat de données issues de fuites et de piratages, revendues sur le dark web. De nombreux sites et entreprises voient régulièrement leurs bases clients volées. Un véritable trésor pour les SIM swappers.

• Le piratage des appareils de la cible (ordinateur, mobile, tablette) à l’aide de malwares pour récupérer photos, mots de passe, identifiants. L’accès à la boîte mail de la victime est leur moyen privilégié.

Cette traque numérique implacable permet à l’attaquant de rassembler suffisamment d’éléments d’identité crédibles pour passer à l’action.

Étape 2 : récupération du numéro auprès de l’opérateur

Muni d’éléments d’identité crédibles, le fraudeur contacte l’opérateur mobile de sa cible en usurpant son identité. Objectif : le convaincre de transférer le numéro de la victime sur une nouvelle carte SIM en sa possession. Pour cela, il prétend avoir perdu ou s’être fait voler son téléphone et réclame avec insistance une nouvelle carte. Pour crédibiliser son propos et vaincre les éventuelles réticences du conseiller, il y a plusieurs techniques dites “d’ingénierie sociale” :

• Il accable l’agent d’informations personnelles (nom, prénom, date de naissance, adresse) et de numéros de contrat pour prouver qu’il est bien le titulaire légitime de la ligne.

• Il n’hésite pas à élever la voix, à pleurer, à mettre une pression émotionnelle intense pour forcer la main de son interlocuteur.

• Dans certains cas, le pirate aura préparé de fausses pièces d’identité et documents pour appuyer sa demande. De plus en plus de faux papiers quasi-indétectables circulent, souvent commandés sur le dark web.

• Si cela ne suffit pas, l’attaquant peut aussi user de la corruption, en s’assurant les services d’un employé de l’opérateur prêt à procéder frauduleusement au transfert contre rémunération.

Étape 3 : verrouillage des accès de la victime

Une fois la nouvelle carte SIM jumelle obtenue et activée, tous les appels et SMS destinés à la victime seront redirigés à son insu vers le mobile du pirate. Il reçoit également les fameux codes d’authentification à double facteur (2FA) par SMS. Dès qu’il reçoit ces premiers codes 2FA sur son téléphone, le pirate sait que l’usurpation a fonctionné. Il peut désormais infiltrer un à un les comptes de sa victime en demandant des réinitialisations de mot de passe par SMS et en validant la procédure à l’aide de ces codes.

Cela lui permet de prendre rapidement le contrôle des comptes mail, réseaux sociaux, applications bancaires, wallets de cryptomonnaies de sa cible, et d’en verrouiller l’accès en modifiant les mots de passe et mécanismes de récupération.

En parallèle, le véritable propriétaire se retrouve privé de réseau mobile, et donc dans l’impossibilité de recevoir le moindre appel ou SMS d’alerte sur les tentatives de connexion suspectes. Le piège se referme.

Quelles sont les conséquences pour les victimes ?

Le SIM swapping est une véritable bombe à fragmentation numérique. Ses dégâts sont souvent longuement ressentis.

Pertes financières directes et indirectes

Le premier préjudice, le plus immédiat, est d’ordre financier. En prenant le contrôle des comptes bancaires et wallets de crypto-monnaies de leur cible, les attaquants cherchent bien sûr à piller le maximum d’argent. Et les montants dérobés peuvent être considérables, surtout si la victime possédait d’importantes sommes en crypto-actifs. Plusieurs cas de SIM swapping ont ainsi abouti au vol de plusieurs millions de dollars, comme celui du crypto-investisseur Michael Terpin, spolié de 24 millions de dollars.

Mais au-delà de ces pertes directes, la victime subit aussi souvent des pertes indirectes : impossibilité d’accéder à ses comptes et donc de travailler normalement, coût des démarches pour prouver l’usurpation et récupérer le contrôle ou encore les frais juridiques pour tenter d’obtenir réparation.

Vol d’identité

Au-delà de l’aspect financier, l’une des conséquences les plus pénibles pour les victimes est la perte de contrôle durable de leur identité numérique. S’engage alors un véritable parcours du combattant, souvent de plusieurs semaines ou mois, pour tenter de prouver sa légitimité auprès des opérateurs télécoms et des différentes plateformes. Sans le numéro de téléphone associé au compte, les procédures de récupération sont complexes.

Il faut accumuler les justificatifs (factures, relevés, documents officiels), relancer de multiples interlocuteurs parfois peu coopératifs, essuyer des refus, etc. Pendant ce temps, les données de la victime restent à la merci des pirates, et ses proches constatent des comportements anormaux sur ses comptes, ce qui peut être très préjudiciable pour son image.

Conséquences psychologiques et réputationnelles

L’impact psychologique de cette nouvelle forme de cybercriminalité ne doit pas être négligé. C’est une intrusion extrêmement violente dans la vie privée. Voir ses données les plus intimes (photos, messages, documents) dérobées, ses conversations espionnées, ou son identité usurpée.C’est un traumatisme qui peut durablement affecter le rapport au numérique et la confiance en soi. Beaucoup de victimes témoignent d’un stress post-traumatique, d’angoisses, d’insomnies !

D’autant que les conséquences peuvent aussi rejaillir sur la réputation, surtout quand les pirates utilisent les comptes compromis pour diffuser des contenus embarrassants ou tenir des propos problématiques au nom de la victime. Il n’est pas rare qu’ils tentent d’extorquer l’entourage avec des photos intimes, ou d’escroquer des proches en se faisant passer pour la victime dans le besoin. Des rumeurs et soupçons difficiles à effacer peuvent ainsi émerger, notamment dans le milieu professionnel.

Pourquoi le préjudice est-il souvent si difficile à prouver et réparer ?

L’un des points les plus frustrants pour beaucoup de victimes de SIM swapping est la difficulté à obtenir justice et réparation une fois le préjudice subi. En effet, attaquer les opérateurs télécoms ou les banques pour négligence et défaut de sécurisation s’apparente souvent à un chemin de croix juridique. Il faut d’abord réussir à prouver sa bonne foi et son absence de responsabilité.

Quand les escrocs sont basés dans des juridictions étrangères peu coopératives, traquer les fonds volés, souvent rapidement blanchis et dispersés via de multiples cryptomonnaies et paradis fiscaux, relève souvent de la mission impossible pour des particuliers. Quant à obtenir une indemnisation décente de la part des opérateurs ou des banques, c’est souvent un autre combat d’usure qui s’engage, avec peu d’espoir de victoire éclatante. En clair, les recours sont limités et les procédures décourageantes de longueur et de complexité.

Exemple 1 : l’affaire Michael Terpin (24 millions de dollars perdus)

En 2018, l’investisseur crypto Michael Terpin s’est fait dérober 24 millions de dollars en bitcoin et autres cryptos. Les pirates ont convaincu son opérateur AT&T de transférer sa ligne sur leur téléphone, interceptant ainsi ses SMS d’authentification. Terpin n’a réalisé le SIM swapping que trop tard, une fois ses comptes vidés. Malgré deux ans de bataille judiciaire et 200 millions de dommages et intérêts obtenus d’AT&T, les fonds n’ont jamais été récupérés. Un cas emblématique des ravages du SIM swapping.

Exemple 2 : le hack de FTX (400 millions de dollars perdus)

En novembre 2022, la plateforme FTX a subi un piratage de 400 millions de dollars lors de son naufrage. Selon le FBI, un gang de SIM swappers aurait usurpé l’identité d’une dirigeante en prenant le contrôle de sa ligne chez AT&T.  L’un des pirates, une femme nommée Emily Hernandez, s’est rendue dans une boutique AT&T au Texas. En utilisant une fausse pièce d’identité au nom d’une employée de FTX (mais avec la photo d’Hernandez), elle a réussi à prendre le contrôle du compte mobile de cette employée.

Ils auraient ainsi pu intercepter ses codes 2FA et vider les wallets de FTX. Les fonds auraient ensuite été blanchis via des complices russes. Le Département de la Justice US est depuis resté discret sur la traque des véritables commanditaires et la récupération des fonds, mais l’affaire illustre la sophistication croissante des SIM swappers, capables de cibler même les plus grands acteurs crypto.

Comment se prémunir contre le SIM swapping ?

Les mesures essentielles

Protégez vos informations sensibles

La première des précautions est de ne jamais communiquer d’information sensible par téléphone. Si un soi-disant conseiller vous le demande, raccrochez et rappelez le numéro officiel de l’entreprise. Méfiez-vous aussi des SMS vous incitant à rappeler un numéro de service.

Corrigez votre authentification à deux facteurs

Dans la mesure du possible, privilégiez des méthodes d’authentification à deux facteurs (2FA) autres que par SMS. Autrement dit, privilégiez :

• Les applis d’authentification comme Google Authenticator, Authy ou LastPass.

• Les clés de sécurité physiques comme YubiKey ou Google Titan.

• La reconnaissance biométrique du visage (celle de FaceID) ou par empreinte digitale.

Renforcez la sécurité de votre numéro

Assurez-vous auprès de votre opérateur que votre numéro de téléphone bénéficie d’une protection adéquate. Ajoutez un mot de passe à votre compte, définissez une question secrète, demandez une vérification d’identité systématique avant tout changement. Et vérifiez régulièrement votre dossier client pour repérer toute anomalie (changement de SIM ou transfert de numéro).

Limitez l’accès public à votre profil

Soyez aussi vigilants sur les informations personnelles que vous publiez en ligne. Moins les fraudeurs en savent sur vous, plus il leur sera difficile d’usurper votre identité. Pensez à verrouiller vos profils sur les réseaux sociaux.

Que faire en cas de doute ?

Première chose à faire : contactez immédiatement votre opérateur mobile. Vérifiez le statut de votre carte SIM et signalez la fraude. Insistez pour faire bloquer votre numéro et obtenir une nouvelle SIM en main propre.

Ensuite, connectez-vous à tous vos comptes sensibles : emails, réseaux sociaux, banques, exchanges, etc. Changez systématiquement vos mots de passe. Optez pour des mots de passe forts et uniques pour chaque compte. Activez si possible une authentification à deux facteurs (2FA) via une app comme Google Authenticator, plutôt que par SMS.

Portez aussi plainte sans attendre auprès des autorités. Constituez un dossier avec toutes les preuves de la fraude pour étayer votre dépôt de plainte : conversations avec l’opérateur, captures d’écran, relevés, notamment.

Contactez également vos banques et les gestionnaires de vos cryptoactifs (plateformes d’échange et wallet) pour signaler l’arnaque. Faites opposition sur vos cartes et bloquez les transferts non autorisés. Changez les phrases de récupération et activez si possible une 2FA robuste.

Enfin, surveillez étroitement vos comptes dans les semaines qui suivent. Soyez attentifs au moindre mouvement suspect. Et n’hésitez pas à communiquer auprès de vos proches s’ils reçoivent des demandes douteuses en votre nom.

Le blocage de la carte SIM empêche-t-il un SIM swap ?

Le code PIN associé à votre carte SIM est un code à 4 chiffres qui vous est demandé à chaque démarrage du téléphone. Son rôle est d’empêcher quiconque mettrait la main sur votre mobile de pouvoir utiliser votre carte SIM, passer des appels ou envoyer des SMS en votre nom sans connaître ce code.

Cependant, cette mesure est totalement inefficace contre le SIM swapping. En effet, la caractéristique principale de cette attaque est que le fraudeur obtient un duplicata de votre carte SIM directement auprès de votre opérateur. Il convainc le téléopérateur, souvent par des techniques d’ingénierie sociale et de faux documents, de désactiver votre carte SIM et d’activer une nouvelle carte jumelle, mais en sa possession.

Les banques peuvent-elles détecter un SIM swap ?

Techniquement, les banques ont la possibilité de détecter certains signes révélateurs d’un SIM swapping sur les comptes de leurs clients. Les systèmes de surveillance anti-fraude peuvent notamment être alertés par un changement soudain du numéro de téléphone associé au compte bancaire, utilisé pour la double authentification. Idem pour une tentative de connexion depuis un nouvel appareil jamais utilisé auparavant par le client, surtout si elle est suivie de demandes de virements inhabituels. L’adresse IP distante est aussi analysée.

Cependant, dans la pratique, ces événements suspects passent souvent sous le radar pour plusieurs raisons : chez certaines banques en ligne, les vérifications en cas de changement de numéro sont insuffisantes. Un simple appel ou formulaire en ligne peut suffire, sans pièce d’identité. Pire, le SIM swapper peut contourner la détection en utilisant un appareil déjà connu de la victime (récupéré par malware) et en se connectant depuis son adresse IP habituelle via un VPN.

Même lorsqu’une alerte est déclenchée, la réaction n’est pas toujours assez rapide pour bloquer les premières transactions frauduleuses lancées par le pirate.

Conclusion

Vous l’aurez compris, les victimes de SIM swapping subissent souvent une avalanche de conséquences dévastatrices sur les plans financier, pratique, psychologique et réputationnel. Et les recours sont souvent minces. C’est pourquoi la prévention reste le maître-mot face à cette menace protéiforme qu’est le SIM swapping. Si vous êtes investisseur crypto, il faut d’autant mieux assurer la sécurité de vos cryptomonnaies !

Utiliser une plateforme d’échange sécurisée ne vous protège pas directement contre le SIM swapping en soi. En effet, le SIM swapping cible votre opérateur téléphonique, pas la plateforme elle-même. Cependant, choisir une plateforme d’échange avec le niveau de sécurité de Bitpanda de référence apporte plusieurs gages de sécurité. Vous êtes averti par email de toute demande de réinitialisation de mot de passe, et êtes en mesure de réagir en un clic (ou un appel) si vous pensez à un élément suspect. La liste de vos sessions ouvertes vous permet parallèlement de garder un œil sur tous les appareils et navigateurs connectés à votre compte.

Restez en sécurité et informé grâce à Bitpanda Academy

Les arnaques crypto évoluent constamment, mais la connaissance reste votre meilleure défense. Bitpanda Academy propose de nombreuses ressources pour vous aider à rester en sécurité dans le monde des cryptos. Découvrez des sujets comme les arnaques crypto courantes, les plus grands risques liés à l’investissement et bien plus encore.